💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Вікторія ГорбікТакая жизнь
7 июля 2022, 11:25
2022-07-07
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.
Электронные письма содержали тему «Специализированная прокуратура в военной и оборонной сфере. Информация о наличии и их укомплектовании» и вложение с XLS-документом «Информация о наличии вакансий и их укомплектовании.xls».
При открытии документа активировался макрос, создававший и запускавший на компьютере файл «write.exe».
Он выполняет роль дроппера, обеспечивая создание на диске файла %PROGRAMDATA%\TRYxaEbX, его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.
Полученный PowerShell-скрипт, кроме обхода AMSI и отключения логирования событий для PowerShell, обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.
Правительственная команда реагирования со средним уровнем уверенности ассоциирует киберпреступников с деятельностью группы UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).
Специалисты по кибербезопасности для защиты рекомендуют запретить возможность создания опасных дочерних процессов из офисных программ (например, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect- against-ransomware).
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.