| 0 |
|
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA дослідила низку кібератак, здійснених угрупуванням UAC-0099, у відношенні органів державної влади, Сил оборони та підприємств оборонно-промислового комплексу України.
Як правило на першому етапі відбувається розсилка електронних листів, переважно, з використанням сервісу UKR.NET та тематикою «судової повістки», що містять посилання на легітимний файловий сервіс (в т.ч., скорочене за допомогою URL Shortener сервісів), за яким буде завантажено подвійний архів, що містить HTA-файл.
Згаданий HTA-файл містить додатково обфускований VBScript, що забезпечує створення на ЕОМ текстового файлу з HEX-кодованими даними («documenttemp.txt»), текстового файлу з PowerShell-кодом («temporarydoc.txt») та запланованого завдання («PdfOpenTask»).
Заплановане завдання «PdfOpenTask» призначене для зчитування та виконання PowerShell-коду, основний функціонал якого полягає у перетворенні HEX-кодованих даних у байти, їх записі до файлу з розширенням «.txt» («%PUBLIC%\Downloads\AnimalUpdate.txt»), переміщенні до EXE-файлу «AnimalUpdate.exe» в тому ж каталозі, та створенні запланованої задачі «\AnimalSoft\UpdateAnimalSoftware» для запуску останнього.
Таким чином на комп'ютері забезпечується функціонування лоадеру Matchboil (вірогідно, на заміну Lonepage). Виявлено, що на ЕОМ можуть бути довантажені додаткові програмні засоби: бекдор Matchwok та стілер Dragstare.
Зміна тактик, технік, процедур та інструментарію цієї групи кіберзлочинців свідчить про еволюцію та персистентний характер кіберзагрози.
Програма Matchboil розроблена з використанням мови програмування C#. Основне призначення – завантаження на комп'ютер додаткового пейлоаду та створення ключа в реєстрі (гілка «Run») для запуску останнього.
Matchwok розроблена з використанням мови програмування C#. Основне призначення – виконання PowerShell-команд шляхом компіляції .NET-програм в runtime з передачею команди в STDIN PowerShell-інтерпретатора (як правило, файл powershell.exe перейменовується та переміщується до не штатного каталогу). Результат виконання команд записується у файл «%TEMP%\tempres» та передається на сервер управління з використанням протоколу HTTPS.
Програма Dragstare розроблена з використанням мови програмування C#. Забезпечує збір інформації про систему, реалізує викрадення даних інтернет-браузерів Chrome та Mozilla, здійснює рекурсивний пошук файлів визначених типів в каталогах Desktop, Documents, Downloads тощо.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
