👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Хакеры атакуют украинцев с помощью макроса MS Excel. Как работает сложная схема кибератаки

Подразделение американской компании, специализирующейся на кибербезопасности, Fortinet FortiGuard Labs заметила направленную на Украину многоэтапную кибератаку с целью развертывания Cobalt Strike и захвата контроля над скомпрометированными компьютерами. Цепочка атак включает файл Microsoft Excel, содержащий встроенный макрос VBA для инициирования заражения.

Оставить комментарий
Хакеры атакуют украинцев с помощью макроса MS Excel. Как работает сложная схема кибератаки

Подразделение американской компании, специализирующейся на кибербезопасности, Fortinet FortiGuard Labs заметила направленную на Украину многоэтапную кибератаку с целью развертывания Cobalt Strike и захвата контроля над скомпрометированными компьютерами. Цепочка атак включает файл Microsoft Excel, содержащий встроенный макрос VBA для инициирования заражения.

«Злоумышленник использует многоступенчатую стратегию вредоносного программного обеспечения для доставки Cobalt Strike и установления связи с командно-контрольным сервером (C2)», — сообщила исследовательница безопасности Кара Лин в своем отчете в понедельник. «Эта атака использует различные методы уклонения, чтобы обеспечить успешную доставку полезной нагрузки».

Источник: The Hacker News

Cobalt Strike, разработанный и поддерживаемый компанией Fortra, является законным инструментарием для моделирования противника, используемого для операций красных команд. Однако многие годы злоумышленники активно использовали сломанные версии этого программного обеспечения в злонамеренных целях, пишет The Hacker News.

Отправной точкой атаки является документ Excel, который при запуске отображает содержимое на украинском языке и призывает жертву «Включить содержимое», чтобы активировать макросы. Стоит отметить, что с июля 2022 года Microsoft заблокировала макросы в Microsoft Office по умолчанию.

После включения макросов в документе будто бы отображается содержимое, связанное с количеством средств, выделенных воинским частям, тогда как в фоновом режиме макрос, закодированный в HEX-коде, разворачивает загрузчик на основе DLL через утилиту сервера реестра (regsvr32).

Невидимый загрузчик отслеживает запущенные процессы на предмет наличия процессов, связанных с Avast Antivirus и Process Hacker и немедленно завершает свою работу, если обнаруживает их.

Если такой процесс не обнаружен, он обращается к удаленному серверу, чтобы получить закодированную полезную нагрузку следующего этапа, но только если соответствующее устройство находится в Украине. Декодированный файл — это DLL, отвечающий за запуск другого DLL-файла, инжектора, имеющий решающее значение для извлечения и запуска конечного вредоносного программного обеспечения.

Процедура атаки завершается развертыванием Cobalt Strike Beacon, устанавливающим контакт с сервером C2 (simonandschuster[.]shop).

«Внедряя проверки на основе местонахождение при загрузке полезной нагрузки, злоумышленник стремится замаскировать подозрительную активность, потенциально ускользая от внимания аналитиков», — сказала Лин. «Используя закодированные строки, VBA скрывает важные строки импорта, облегчая развертывание DLL-файлов для сохранения и расшифрования дальнейшей полезной нагрузки».

«Кроме того, функция самоуничтожения способствует тактике уклонения, в то время как инжектор DLL использует тактику задержки и завершает родительские процессы во избежание песочницы и механизмов защиты от настройки соответственно», — добавила исследовательница Fortinet FortiGuard Labs.

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
Хакеры атакуют украинские предприятия из-за программы для удаленного управления компьютерами SuperOps RMM. Вот как обезопаситься
Хакеры атакуют украинские предприятия из-за программы для удаленного управления компьютерами SuperOps RMM. Вот как обезопаситься
По теме
Хакеры атакуют украинские предприятия из-за программы для удаленного управления компьютерами SuperOps RMM. Вот как обезопаситься
Во второй половине 2023 года российские хакеры атаковали Украину в среднем около 240 раз в месяц. Куда были направлены кибератаки
Во второй половине 2023 года российские хакеры атаковали Украину в среднем около 240 раз в месяц. Куда были направлены кибератаки
По теме
Во второй половине 2023 года российские хакеры атаковали Украину в среднем около 240 раз в месяц. Куда были направлены кибератаки
В Киеве пророссийские хакеры создали мощные ботофермы для распространения дезинформации
В Киеве пророссийские хакеры создали мощные ботофермы для распространения дезинформации
По теме
В Киеве пророссийские хакеры создали мощные ботофермы для распространения дезинформации
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Очередная кибератака на госучреждения состоялась под видом вакансий и укомплектования военных от вредителя Cobalt Strike Beacon
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция
Случайно открыл ссылку с вирусом. Что делать? Вот инструкция

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.