Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA досліджується активність, пов’язана із розповсюдженням серед органів місцевого самоврядування електронних листів з темою “Заміну таблиці” та посиланням, що імітує Google таблицю.
У випадку переходу за посиланням користувачеві буде відображене вікно, що імітує механізм захисту від ботів reCAPTCHA. Якщо клікнути у полі, навпроти надпису “I’m not a robot”, до буферу обміну комп’ютера буде скопійовано PowerShell-команду, а у вікні, що з’явиться, буде відображено “інструкцію”, в якій пропонується натиснути комбінацію клавіш “Win+R” (для відкриття командного рядка), після чого виконати другу комбінацію клавіш “Ctrl+V” (вставити в командний рядок команду) та натиснути “Enter”, що призведе до виконання PowerShell-команди.
Згадана команда забезпечить завантаження і запуск HTA-файлу “browser.hta” (очистить вміст буферу обміну) та PowerShell-сценарію “Browser.ps1”, основним призначенням якого є:
- завантаження і запуск SSH для побудови тунелю
- викрадення та ексфільтрацію автентифікаційних та інших даних браузерів Chrome, Edge, Opera, Firefox
- завантаження та запуск програмного засобу METASPLOIT.
Зауважимо, що у вересні 2024 року CERT-UA досліджено інцидент (CERT-UA#10859), пов’язаний із розповсюдженням електронних листів, що містили експлойт для вразливості в Roundcube (CVE-2023-43770), успішне спрацювання якого створювало технічні можливості для викрадення автентифікаційних даних користувача, а також призводило до створення фільтру “SystemHealthChek” (плагін “ManageSiev”), який забезпечував перенаправлення вмісту поштової скриньки жертви на електронну адресу зловмисника.
В обох випадках у якості управляючої інфраструктури використовувався (скомпрометований) сервер “mail.zhblz[.]com” (203.161.50[.]145).
Слід також додати, що під час дослідження згаданого інциденту виявлено більше 10 скомпрометованих облікових записів електронної пошти державної організації, вміст яких регулярно автоматизовано отримувався зловмисниками, та які, серед іншого, використовувалися для розсилки електронних листів з експлойтами, в тому числі, оборонним відомствам інших країни світу.
З середнім рівнем впевненості описана активність асоційована з діяльністю угрупування UAC-0001 (APT28).
За матеріалами сайту CERT-UA
Автор публікації
