`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

CERT-UA виявила шпигунську активність відносно державних органів України та ряду інших країн

24 мая 2023 г., 12:35
0 
 

«Урядова команда реагування на комп'ютерні надзвичайні події України» (CERT-UA), що функціонує в складі «Держспецзв’язку» дослідила кібератаку на інформаційно-комунікаційну систему одного з державних органів України.

На електронну адресу відомства 18.04.2023 та 20.04.2023 начебто з офіційної поштової скриньки «Посольства Таджикистану в Україні» (вірогідно, в результаті компрометації останньої) надійшли електронні листи, перший з яких містив додаток у вигляді документу з макросом, а другий – посилання на той самий документ.

У випадку завантаження документу та активації макросу на ЕОМ буде створено та відкрито docx-файл «SvcRestartTaskLogon», який також містить макрос, що забезпечить створення ще одного файлу з макросом «WsSwapAssessmentTask». Призначенням останнього є створення файлу «SoftwareProtectionPlatform», що класифіковано як Hatvibe, а також запланованого завдання для його запуску. Hatvibe представлено у вигляді кодованого VBScript-файлу (VBE), який функціонально забезпечує можливість завантаження та запуску інших файлів.

В процесі дослідження визначено, що 25.04.2023 за невстановлених обставин (вірогідно, за допомогою Hatvibe) на ЕОМ створено додаткові програми: кейлогер Logpie (забезпечує збереження у файл значень натискань на клавіатуру та вмісту буферу обміну) та бекдор Cherryspy (забезпечує виконання Python-коду, отриманого з сервера управління). Згадані файли розроблено з використанням мови програмування Python та захищено за допомогою утиліти PyArmor. При цьому модуль «pytransform», в якому реалізовано механізми шифрування та обфускації коду, додатково захищено за допомогою Themida. Слід додати, що для пошуку та ексфільтрації файлів, в тому числі результатів роботи кейлогеру Logpie (розширення файлу: «.~tmp»), використовується шкідлива програма Stillarch.

Додаткове вивчення інфраструктури та пов'язаних файлів дозволили зробити висновок про те, що серед об'єктів зацікавленості групи є організації з Монголії, Казахстану, Киргизстану, Ізраїлю, Індії.

З метою зменшення поверхні атаки рекомендується для облікових записів користувачів обмежити можливість виконання «mshta.exe», запуску Windows Script Host («wscript.exe», «cscript.exe») та інтерпретатору Python.

Стратегія охолодження ЦОД для епохи AI

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Останні обговорення

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT