Прокачайте свій бізнес з інструментами від Київстар 🧑‍💻

Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon

Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.

Оставить комментарий
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon

Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.

Электронные письма содержали тему «Специализированная прокуратура в военной и оборонной сфере. Информация о наличии и их укомплектовании» и вложение с XLS-документом «Информация о наличии вакансий и их укомплектовании.xls».

фото CERT-UA

При открытии документа активировался макрос, создававший и запускавший на компьютере файл «write.exe».

Он выполняет роль дроппера, обеспечивая создание на диске файла %PROGRAMDATA%\TRYxaEbX, его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.

Полученный PowerShell-скрипт, кроме обхода AMSI и отключения логирования событий для PowerShell, обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.

Правительственная команда реагирования со средним уровнем уверенности ассоциирует киберпреступников с деятельностью группы UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).

Специалисты по кибербезопасности для защиты рекомендуют запретить возможность создания опасных дочерних процессов из офисных программ (например, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect- against-ransomware).

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
По теме
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
По теме
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
По теме
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
Другий сезон проєкту Ukrainian Underdogs.

Що сьогодні відбувається між державою та IT

УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.