Кібератака на органи юстиції та нотаріат використовує open source шкідник AsyncRAT

«Урядова команда реагування на комп'ютерні надзвичайні події України» (CERT-UA) з першого кварталу відстежує цільову зловмисну активність, яка полягає у розповсюдженні електронною поштою повідомлень із вкладеннями у вигляді BZIP, GZIP, RAR архівів, що містять BAT-файли, створені за допомогою криптора ScrubCrypt (вартість – від $249), запуск яких забезпечить ураження комп’ютера шкідливою програмою AsyncRAT (вихідний код опубліковано на GitHub).

При цьому зловмисники застосовують специфічні теми листів та назви файлів, наприклад: «Лист відділу з питань нотаріату у Дніпропетровській області.rar», «Лист до відома та виконання.cmd», «Лист МЮУ для доведення до відома та врахування в роботі.exe.bzip», що, своєю чергою, дозволяє зробити припущення щодо спрямованості кібератак на органи юстиції та нотаріату України.

З технічної точки зору ланцюг ураження полягає у запуску BAT/CMD-файлу, що містить PowerShell-код, призначений для декодування (BASE64), дешифрування (AES-CBC), декомпресії (GZIP) та запуску .NET-файлу (внутрішня назва «ScrubCrypt»), який забезпечить запуск шкідливої програми AsyncRAT.

У зв'язку з цим, з метою мінімізації вірогідності реалізації загрози, серед іншого доцільно обмежити можливість запуску PowerShell для непривілейованих облікових записів операційної системи.