Держспецзв’язку попередила про нову кібератаку на держоргани України у вигляді електронної пошти із зараженим XLS-документом.

Держспецзв’язку попередила про нову кібератаку на держоргани України у вигляді електронної пошти із зараженим XLS-документом.

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження 05.07.2022 електронних листів з темою “Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування” та вкладенням у вигляді XLS-документу “Інформація щодо наявності вакансій та їх укомплектування.xls”.

Документ містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”.

Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.

Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.

З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056.

Рекомендації

1. Заборонити можливість створення небезпечних дочірніх процесів з офісних програм (наприклад, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect-against-ransomware)

Джерело