Киберпреступники выдают себя за украинские государственные органы, предлагая способы повышения сетевой безопасности.
Украинская группа реагирования на компьютерные чрезвычайные ситуации предупредила о злоумышленниках, которые распространяют поддельные обновления антивирусного ПО Windows с целью установки маячков Cobalt Strike и других вредоносных программ.
Киберпреступники выдают себя в рассылаемых фишинговых электронных письмах за украинские государственные органы, предлагая способы повышения сетевой безопасности, и советуют получателям загрузить «критические обновления безопасности». В письме содержится ссылка на французский web-сайт для загрузки обновлений антивирусного программного обеспечения в виде файла размером 60 МБ с именем BitdefenderWindowsUpdatePackage.exe.
Фальшивое обновление на самом деле загружает и устанавливает файл one.exe из CDN Discord, который является маяком Cobalt Strike. Cobalt Strike — широко используемый пакет для тестирования на проникновение, предлагающий наступательные возможности безопасности, облегчающий перемещение по сети и обеспечивающий персистентность.
Тот же процесс устанавливает загрузчик на языке Go (dropper.exe), который декодирует и выполняет файл в кодировке base-64 (java-sdk.exe). Файл добавляет новый раздел реестра Windows для закрепления на системе жертвы, а также загружает еще две полезные нагрузки: бэкдоры GraphSteel (microsoft-cortana.exe) и GrimPlant (oracle-java.exe). Все исполняемые файлы в ходе данной вредоносной кампании упакованы в инструменте Themida, который защищает их от обратной разработки, обнаружения и анализа. Возможности инструментов включают сетевую разведку, выполнение команд и операции с файлами.
Украинская группа реагирования на компьютерные инциденты связала обнаруженную киберугрозу с группировкой UAC-0056 (также известной как Lorec53) — русскоязычной APT-группировкой, которая использует комбинацию фишинговых писем и специальных бэкдоров для хищения информации у украинских организаций.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках