Подразделение американской компании, специализирующейся на кибербезопасности, Fortinet FortiGuard Labs заметила направленную на Украину многоэтапную кибератаку с целью развертывания Cobalt Strike и захвата контроля над скомпрометированными компьютерами. Цепочка атак включает файл Microsoft Excel, содержащий встроенный макрос VBA для инициирования заражения.
Подразделение американской компании, специализирующейся на кибербезопасности, Fortinet FortiGuard Labs заметила направленную на Украину многоэтапную кибератаку с целью развертывания Cobalt Strike и захвата контроля над скомпрометированными компьютерами. Цепочка атак включает файл Microsoft Excel, содержащий встроенный макрос VBA для инициирования заражения.
«Злоумышленник использует многоступенчатую стратегию вредоносного программного обеспечения для доставки Cobalt Strike и установления связи с командно-контрольным сервером (C2)», — сообщила исследовательница безопасности Кара Лин в своем отчете в понедельник. «Эта атака использует различные методы уклонения, чтобы обеспечить успешную доставку полезной нагрузки».
Cobalt Strike, разработанный и поддерживаемый компанией Fortra, является законным инструментарием для моделирования противника, используемого для операций красных команд. Однако многие годы злоумышленники активно использовали сломанные версии этого программного обеспечения в злонамеренных целях, пишет The Hacker News.
Отправной точкой атаки является документ Excel, который при запуске отображает содержимое на украинском языке и призывает жертву «Включить содержимое», чтобы активировать макросы. Стоит отметить, что с июля 2022 года Microsoft заблокировала макросы в Microsoft Office по умолчанию.
После включения макросов в документе будто бы отображается содержимое, связанное с количеством средств, выделенных воинским частям, тогда как в фоновом режиме макрос, закодированный в HEX-коде, разворачивает загрузчик на основе DLL через утилиту сервера реестра (regsvr32).
Невидимый загрузчик отслеживает запущенные процессы на предмет наличия процессов, связанных с Avast Antivirus и Process Hacker и немедленно завершает свою работу, если обнаруживает их.
Если такой процесс не обнаружен, он обращается к удаленному серверу, чтобы получить закодированную полезную нагрузку следующего этапа, но только если соответствующее устройство находится в Украине. Декодированный файл — это DLL, отвечающий за запуск другого DLL-файла, инжектора, имеющий решающее значение для извлечения и запуска конечного вредоносного программного обеспечения.
Процедура атаки завершается развертыванием Cobalt Strike Beacon, устанавливающим контакт с сервером C2 (simonandschuster[.]shop).
«Внедряя проверки на основе местонахождение при загрузке полезной нагрузки, злоумышленник стремится замаскировать подозрительную активность, потенциально ускользая от внимания аналитиков», — сказала Лин. «Используя закодированные строки, VBA скрывает важные строки импорта, облегчая развертывание DLL-файлов для сохранения и расшифрования дальнейшей полезной нагрузки».
«Кроме того, функция самоуничтожения способствует тактике уклонения, в то время как инжектор DLL использует тактику задержки и завершает родительские процессы во избежание песочницы и механизмов защиты от настройки соответственно», — добавила исследовательница Fortinet FortiGuard Labs.
