💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉

Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon

Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.

Оставить комментарий
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon

Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.

Электронные письма содержали тему «Специализированная прокуратура в военной и оборонной сфере. Информация о наличии и их укомплектовании» и вложение с XLS-документом «Информация о наличии вакансий и их укомплектовании.xls».

фото CERT-UA

При открытии документа активировался макрос, создававший и запускавший на компьютере файл «write.exe».

Он выполняет роль дроппера, обеспечивая создание на диске файла %PROGRAMDATA%\TRYxaEbX, его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.

Полученный PowerShell-скрипт, кроме обхода AMSI и отключения логирования событий для PowerShell, обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.

Правительственная команда реагирования со средним уровнем уверенности ассоциирует киберпреступников с деятельностью группы UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).

Специалисты по кибербезопасности для защиты рекомендуют запретить возможность создания опасных дочерних процессов из офисных программ (например, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect- against-ransomware).

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
По теме
«Бесславные ублюдки». Как ИТ-армия тролит ФСБшников и набирает хакеров среди инфоциган
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
По теме
Стать хакером может любой. 10 курсов по кибербезопасности от международных онлайн платформ
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
По теме
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств
США ликвидировали российский ботнет RSOCKS. Он торговал IP-адресами сломанных устройств

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.