Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила та дослідила нову серію цілеспрямованих кібератак на державні органи та підприємства оборонно-промислового комплексу.
Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми MATCHBOIL, MATCHWOK та DRAGSTARE. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами.
Атака починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, «судові повістки». Листи містять посилання (іноді скорочене) на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки.
Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп’ютері жертви два файли: один з HEX-кодованими даними, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний крок – PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера MATCHBOIL, який закріплюється в системі через власне заплановане завдання.
Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу.
Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик, технік та процедур угруповання.
MATCHBOIL (Завантажувач)
Головне завдання програми – доставити на уражений комп’ютер основне шкідливе навантаження. MATCHBOIL збирає базову інформацію про систему (ID процесор, серійний номер BIOS, ім’я користувача, MAC-адресу) для ідентифікації жертви на сервері управління. Далі він завантажує наступний компонент атаки, зберігає його як COM-файл та створює ключ у реєстрі для забезпечення його автоматичного запуску.
MATCHWOK (Бекдор)
Він надає зловмисникам можливість віддалено виконувати довільні PowerShell-команди на ураженій системі. Команди надходять із сервера управління в зашифрованому вигляді та виконуються через інтерпретатор PowerShell, який програма попередньо перейменовує та переміщує. Бекдор має елементи антианалізу, зокрема перевіряє систему на наявність запущених процесів інструментів на кшталт Wireshark, Fiddler чи Procmon.
DRAGSTARE (Викрадач)
Він виконує комплексний збір даних:
- системна інформація: ім’я комп’ютера, дані про ОС, процесори, пам’ять, диски, мережеві інтерфейси;
- дані браузерів: викрадає аутентифікаційні дані (логіни, паролі, cookie) з Chrome та Firefox, використовуючи DPAPI для розшифрування;
файли: здійснює рекурсивний пошук на робочому столі, в документах та завантаженнях файлів з розширеннями .docx, .doc, .xls, .pdf, .ovpn, .rdp, .txt. знайдені файли архівуються та відправляються на сервер зловмисників.
РЕКОМЕНДАЦІЇ ВІД CERT-UA
Для протидії описаній загрозі та посилення загального рівня кіберзахисту необхідно вжити таких заходів:
No Comment! Be the first one.