Исследователи Fortinet раскрыли серию изощрённых атак повышенной сложности.
Исследователи из компании Fortinet зафиксировали новую сложную вредоносную операцию, направленную на устройства в Украине. Основная цель злоумышленников — внедрение Cobalt Strike и захват контроля над скомпрометированными хостами.
По словам исследователя по безопасности Кары Лин, атака начинается с вредоносного файла Microsoft Excel, содержащего встроенный VBA-скрипт. Этот скрипт запускает многоэтапное заражение, в результате которого устанавливается связь с C2-сервером злоумышленников.
Cobalt Strike, созданный компанией Fortra, изначально был предназначен для моделирования атак в целях проверки безопасности. Однако его взломанные версии активно используются злоумышленниками в преступных целях.
Начальный этап атаки в рассмотренной вредоносной операции включает Excel-документ, отображающийся на украинском языке. С июля 2022 года Microsoft по умолчанию блокирует макросы в Office, что добавляет сложности для атакующих. Тем не менее, со временем хакеры наловчились использовать социальную инженерию таким образом, чтобы само содержимое документа побуждало жертву активировать поддержку макросов.
После включении макросов в фоновом режиме запускает DLL-загрузчик через утилиту regsvr32. Этот загрузчик отслеживает активные процессы на наличие Avast Antivirus и Process Hacker. При их обнаружении он завершает работу.
В случае отсутствия таких процессов загрузчик подключается к удалённому серверу для загрузки следующего этапа вредоносного ПО, но только если устройство находится в Украине.
Полученный файл представляет собой DLL, который запускает другой DLL-файл, выполняющий роль инжектора. Этот инжектор важен для извлечения и запуска финального вредоносного ПО. Заключительный этап атаки включает развёртывание Cobalt Strike Beacon, который устанавливает связь с С2-сервером хакеров.
«Проверки на основе геолокации во время скачивания полезных нагрузок позволяют атакующим скрыть подозрительную активность, избегая внимания аналитиков», — объяснила Лин. «Использование закодированных строк помогает скрыть важные импортируемые строки, облегчая развёртывание DLL-файлов и расшифровку последующих нагрузок».
Кроме того, использование функции самоуничтожения способствует обходу мер безопасности, а DLL-инжектор применяет задержки и завершает родительские процессы для избегания анализа в песочнице и антиотладочных механизмов.
Данная вредоносная операция демонстрирует высокую степень изощренности и целенаправленность на украинские объекты. Злоумышленники используют тактики социальной инженерии, геолокационной фильтрации, обхода антивирусов и песочниц для успешного внедрения вредоносного ПО Cobalt Strike.
Ладно, не доказали. Но мы работаем над этим