| 0 |
|
Протягом 15-25 грудня фахівці виявили декілька випадків розповсюдження серед державних організацій електронних листів з посиланнями на «документи», відвідування яких призводило до ураження ЕОМ шкідливими програмами.
В процесі дослідження інцидентів з'ясовано, що згадані посилання забезпечують перенаправлення жертви на вебресурс, на якому за допомогою JavaScript та особливостей прикладного протоколу «search» («ms-search») https://www.trellix.com/about/newsroom/stories/research/beyond-file-search-a-novel-method/ здійснюється завантаження файлу-ярлика, відкриття якого призводить до запуску PowerShell-команди, призначеної для завантаження з віддаленого (SMB) ресурсу та запуску (відкриття) документу-приманки, а також інтерпретатора мови програмування Python і файлу Client.py, що класифіковано як Masepie.
З використанням Masepie на комп'ютер довантажується та запускається Openssh (для побудови тунелю), PowerShell-сценарій Steelhook (викрадення даних інтернет-браузерів Chrome/Edge), а також бекдор Oceanmap. Крім того, протягом години з моменту первинної компрометації на комп'ютері створюються Impacket, Smbexec та ін., за допомогою яких здійснюється розвідка мережі та спроби подальшого горизонтального переміщення.
За сукупністю тактик, технік, процедур та інструментарію активність асоційовано з діяльністю угрупування APT28. При цьому, очевидно, що зловмисний задум також передбачає вжиття заходів з розвитку кібератаки на всю інформаційно-комунікаційну систему організації. Таким чином, компрометація будь-якої ЕОМ може створити загрозу для всієї мережі.
Зауважимо, що випадки здійснення аналогічних атак зафіксовано також у відношенні польських організацій.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
