Протягом 15-25 грудня 2023 року виявлено декілька випадків розповсюдження серед державних організацій електронних листів з посиланнями на “документи”, відвідування яких призводило до ураження ЕОМ шкідливими програмами.
В процесі дослідження інцидентів з’ясовано, що згадані посилання забезпечують перенаправлення жертви на вебресурс, на якому за допомогою JavaScript та особливостей прикладного протоколу “search” (“ms-search”) [1] здійснюється завантаження файлу-ярлика, відкриття якого призводить до запуску PowerShell-команди, призначеної для завантаження з віддаленого (SMB) ресурсу та запуску (відкриття) документу-приманки, а також інтерпретатора мови програмування Python і файлу Client.py, що класифіковано як MASEPIE.
З використанням MASEPIE на комп’ютер довантажується та запускається OPENSSH (для побудови тонелю), PowerShell-сценарцій STEELHOOK (викрадення даних Інтернет-браузерів Chrome/Edge), а також бекдор OCEANMAP. Крім того, протягом години з моменту первинної компрометації на комп’ютері створюються IMPACKET, SMBEXEC та ін., за допомогою яких здійснюється розвідка мережі та спроби подальшого горизонтального переміщення.
За сукупністю тактик, технік, процедур та інструментарію активність асоційовано з діяльністю угрупування APT28. При цьому, очевидно, що зловмисний задум також передбачає вжиття заходів з розвитку кібератаки на всю інформаційно-комунікаційну систему організації. Таким чином, компрометація будь-якої ЕОМ може створити загрозу для всієї мережі.
Зауважимо, що випадки здійснення аналогічних атак зафіксовано також у відношенні польських організацій.
За матеріалами сайту CERT-UA
Автор публікації
