Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.
Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.
Электронные письма содержали тему «Специализированная прокуратура в военной и оборонной сфере. Информация о наличии и их укомплектовании» и вложение с XLS-документом «Информация о наличии вакансий и их укомплектовании.xls».
При открытии документа активировался макрос, создававший и запускавший на компьютере файл «write.exe».
Он выполняет роль дроппера, обеспечивая создание на диске файла %PROGRAMDATA%\TRYxaEbX, его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.
Полученный PowerShell-скрипт, кроме обхода AMSI и отключения логирования событий для PowerShell, обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.
Правительственная команда реагирования со средним уровнем уверенности ассоциирует киберпреступников с деятельностью группы UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).
Специалисты по кибербезопасности для защиты рекомендуют запретить возможность создания опасных дочерних процессов из офисных программ (например, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect- against-ransomware).
