| 0 |
|
«Урядова команда реагування на комп'ютерні надзвичайні події України» (CERT-UA), яка вживає заходів з протидії кіберзагрозам, з 2022 року відстежує активність, що полягає у здійсненні цільових кібератак, спрямованих проти Сил оборони з метою шпигунства із застосуванням шкідливої програми Capibar.
Окрім застосування XSLT та COM-hijacking специфіка Capibar полягає в наявності серверної частини, що, зазвичай, встановлюється на скомпрометованих серверах MS Exchange у вигляді MOF файлу із застосуванням PowerShell-інструменту Desired State Configuration (DCS), фактично перетворюючи легітимний сервер в центр управління шкідливою програмою.
На етапі первинної компрометації, окрім надсилання електронних листів з додатком у вигляді документа з макросом, зловмисники можуть здійснювати модифікацію документів (наприклад, на внутрішньому загальнодоступному мережевому ресурсі), додаючи в структуру легітимного макросу декілька рядків коду, які забезпечать запуск PowerShell.
При цьому, за певних обставин на уражені ЕОМ довантажується складний багатофункціональний бекдор Kazuar, в якому реалізовано понад 40 функцій, серед яких викрадення автентифікаційних даних, конфігураційних файлів програм, отримання даних з журналів ОС тощо.
Серед іншого відомі випадки ексфільтрації з інфікованих ЕОМ файлів за визначеним переліком розширень з використанням легітимної програми rclone.
З урахуванням особливостей тактик, технік та процедур, а також факту використанням програми Kazuar, з достатнім рівнем впевненості описану цю активність асоційовано з угрупуванням Turla, діяльність яких скеровується фсб росії.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
