Дослідники кібербезпеки компанії Deep Instinct виявили цілеспрямовану операцію проти України, яка, як з’ясувалося, використовує майже семирічну помилку в Microsoft Office для доставки вірусу Cobalt Strike на скомпрометовані системи.
Дослідники кібербезпеки компанії Deep Instinct виявили цілеспрямовану операцію проти України, яка, як з’ясувалося, використовує майже семирічну помилку в Microsoft Office для доставки вірусу Cobalt Strike на скомпрометовані системи.
Під час серії атак, які відбулися наприкінці 2023 року, згідно з даними Deep Instinct, використовувався файл слайд-шоу PowerPoint («signal-20.12.2023-160512.ppsx») як початкова точка. Назва файлу вказує на те, що він міг бути поширений через застосунок для обміну повідомленнями Signal, повідомляє The Hacker News. Водночас немає жодних фактичних доказів того, що файл PPSX поширювався саме в такий спосіб.
«Файл PPSX (слайд-шоу в PowerPoint), схоже, є старою інструкцією армії США з використання протимінних лопатей (MCB) для танків», — каже дослідник безпеки Іван Косарєв. «Файл PPSX містить віддалений зв’язок із зовнішнім об'єктом OLE».
Сюди входить CVE-2017-8570 (оцінка CVSS: 7.8), виправлена помилка віддаленого виконання коду в Office, яка могла дозволити зловмиснику здійснювати будь-які дії, переконавши жертву відкрити спеціально створений файл, щоб завантажити віддалений скрипт, розміщений на weavesilk[.]space.
Добре замаскований скрипт згодом запускає HTML-файл, що містить код JavaScript, який, своєю чергою, зберігається на хості через реєстр Windows і видаляє корисне навантаження наступного етапу, що імітує клієнт Cisco AnyConnect VPN.
Корисне навантаження включає бібліотеку динамічного компонування (DLL), яка впроваджує зламаний Cobalt Strike Beacon, легальний інструмент для тестування пера, безпосередньо в системну пам’ять і чекає подальших інструкцій від сервера керування та контролю (C2) («petapixel[.]fun»).
DLL також містить функції для перевірки того, чи виконується вона на віртуальній машині, та уникнення виявлення програмним забезпеченням для захисту.
Deep Instinct заявила, що не може пов’язати атаки з конкретним загрозливим суб'єктом або групою, а також виключити можливість того, що це була «червона команда». Також незрозуміла точна кінцева мета вторгнення.
«Приманка містила військовий контент, що дозволяє припустити, що вона була націлена на військовослужбовців», — сказав Косарєв.
«Але доменні імена weavesilk[.]space і petapixel[.]fun замасковані під маловідомий сайт генеративного арту (weavesilk[.]com) і популярний фотосайт (petapixel[.]com). Вони не пов’язані між собою, і трохи дивно, чому зловмисник використовує їх саме для того, щоб обдурити військовослужбовців», — зауважив дослідник безпеки.
