+11 голос |
«Урядова команда реагування на комп'ютерні надзвичайні події України» CERT-UA у взаємодії з «Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334» дослідили цілеспрямовану кібератаку, що полягала у спробі ураження шкідливим програмним забезпеченням комп’ютерів представників «Сил оборони України».
Так, 22 лютого невідомий за допомогою месенджеру Signal розповсюдив серед декількох військовослужбовців XLS-документ «1_ф_5.39-2024.xlsm» з повідомленням про, нібито, проблеми з формуванням звітності. Окрім легітимного макросу, згаданий документ містив додатковий програмний VBA-код, який забезпечував запуск PowerShell-команди, призначеної для завантаження, декодування та виконання PowerShell-сценарію «mob2002.data».
Завантажений з Github PowerShell-скрипт здійснює модифікацію реєстру операційної системи з метою запуску декодера, який забезпечить виконання основного пейлоаду. Останній, після декодування, містить черговий PowerShell-скрипт, який здійснює GZIP-декомпресію та запуск шкідливої програми Cookbox.
Cookbox – PowerShell-сценарій, що реалізує функціонал завантаження та виконання PowerShell-командлетів. Для кожної ураженої ЕОМ обчислюється унікальний ідентифікатор з використанням криптографічних перетворень (хеш-функцій SHA256/MD5) на основі комбінації значень імені комп'ютера та серійного номера диска, який, під час взаємодії з сервером управління, передається в заголовку «X-Cookie» HTTP-запитів. Персистентність бекдору забезпечується відповідним ключем в гілці Run реєстру операційної системи (ОС), який створюється на етапі первинного ураження стороннім PowerShell-скриптом (в т.ч., Cookbox deployer'ом). Зазвичай, в програмному коді використовуються елементи обфускації: chr-кодування символів, заміна символів (replace()), base64-перетворення, GZIP-компресія.
Для функціонування інфраструктури серверів управління використовуються сервіси динамічного DNS (наприклад, gotdns.ch, myftp.biz) та Cloudflare Workers.
Описана активність здійснюється, щонайменше, з осені 2023 року, та має точковий характер. З огляду на типовість тактик, технік та процедур, успішна реалізація описаної загрози можлива у відношенні тих ЕОМ, на яких системними адміністраторами (адміністраторами безпеки) ще й досі не налаштовано елементарні безпекові політики, зокрема, блокування спроб запуску утиліт cmd.exe, powershell.exe, mshta.exe, w(c)script.exe, hh.exe та інших як в цілому, так і за умови, якщо батьківським є процес однієї з програм Microsoft Office (наприклад, EXCEL.EXE).
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |