💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉
Вікторія ГорбікТакая жизнь
7 июля 2022, 11:25
2022-07-07
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Злоумышленники рассылали госучреждениям электронные письма, которые содержали макрос, активировавший вредителя Cobalt Strike Beacon. Об этом сообщает CERT-UA.
Электронные письма содержали тему «Специализированная прокуратура в военной и оборонной сфере. Информация о наличии и их укомплектовании» и вложение с XLS-документом «Информация о наличии вакансий и их укомплектовании.xls».
При открытии документа активировался макрос, создававший и запускавший на компьютере файл «write.exe».
Он выполняет роль дроппера, обеспечивая создание на диске файла %PROGRAMDATA%\TRYxaEbX, его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.
Полученный PowerShell-скрипт, кроме обхода AMSI и отключения логирования событий для PowerShell, обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.
Правительственная команда реагирования со средним уровнем уверенности ассоциирует киберпреступников с деятельностью группы UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).
Специалисты по кибербезопасности для защиты рекомендуют запретить возможность создания опасных дочерних процессов из офисных программ (например, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect- against-ransomware).
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.