Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження 05.07.2022 електронних листів з темою “Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування” та вкладенням у вигляді XLS-документу “Інформація щодо наявності вакансій та їх укомплектування.xls”.
Документ містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”.
Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.
Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.
З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056.
Рекомендації
1. Заборонити можливість створення небезпечних дочірніх процесів з офісних програм (наприклад, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect-against-ransomware)
Що таке хмарні сховища та навіщо вони потрібні?
Покроково, як підключити Старлінк резервним каналом інтернету на підприємстві.
Шукаєте де придбати ГЕНЕРАТОР?
Екваер IKS обмежує час роботи сервіса.
Microsoft обмежила росіянам оновлення до Windows 11 22H2, а Apple видалила з App Store всі застосунки VK та Mail.ru
Держспецзв’язку попередила про нову кібератаку на держоргани України у вигляді електронної пошти із зараженим XLS-документом.
Як підключити Starlink в Україні (супутниковий інтернет SpaceX)
Ми продовжуємо роботу!
Microsoft визнала проблему з L2TP, та випустила позачергове оновлення для її рішення.
У ніч із 13 на 14 січня відбулася масштабна кібератака на урядові сайти.
Свіже оновлення Windows створює помилку при підключення через VPN (L2TP + PPTP )
Графік роботи на Новорічні та Різдвяні свята