fbpx

Вівторок, 3 Червня, 2025, 11:33:06

weather-icon
˚C

Держспецзв’язку попереджає про нову кібератаку на державні організації

07.07.2022, 17:03

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження 05.07.2022 електронних листів з темою “Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування” та вкладенням у вигляді XLS-документу “Інформація щодо наявності вакансій та їх укомплектування.xls”.

Документ містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”.

Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.

Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.

З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056.

Індикатори компрометації

Файли:

c6e7af8d31a951b8c05565ab18c4f258    024054ff04e0fd75a4765dd705067a6b336caa751f0a804fefce787382ac45c1    Інформація щодо наявності вакансій та їх укомплектування.xls
28f18fc7d9a0ab530742c2314cbd5c32    14736be09a7652d206cd6ab35375116ec4fad499bb1b47567e4fd56dcfcd22ea    write.exe (2022-07-04)
8409920ef2d78549fc214718c4719d3a    e68c83ce6359691ce63c957ebfdbf959c5b199c83fd2480aebe4220fec9f3304    TRYxaEbX
1dc98fb372925fcba321b0bc8347fdcc    d1e6d365a3ede77bd7f6c77523b114dd9628f7b9bafb2e458f9b19bd6ce24c71    TRYxaEbX.ps1
f4217387333f65faeb7b13637c1e7c72    e1cbfef74b4084023a1f02ab68b3ad3bc60561f7e988860b80ac94a91922fa86    TRYxaEbX_2.ps1
26e326ba69f5258c4979902b5bd4f24e    9dec13e1b0ed9337fcbe233d5f83eff09c64a14c7f2400b9b915a685b29612ea    shellcode.x86 (Cobalt Strike Beacon)
a4b4047022bce6f65faffc4c6033c5d2    c1e14c4d8d83281de413ccaa577621a057195df3773960274aabf855e2c7bea2    shellcode.x64 (Cobalt Strike Beacon)

Мережеві:

skreatortemp[.]site
hXXps://skreatortemp[.]site/s/08u1XdxChhMrLYdTasfnOMQpbsLkpq3o/field-keywords/
hXXps://skreatortemp[.]site/nBz07hg5l3C9wuWVCGV-5xHHu1amjf76F2A8i/avp/amznussraps/
Mozilla/5.0_Frsg_stredf_o21_rutyyyrui_type (Windows NT 10.0; Win64; x64; Trident/7.0; D-M1-200309AC;D-M1-MSSP1; rv:11.0) like Gecko_10984gap

Хостові:

%PROGRAMDATA%\TRYxaEbX
%TMP%\write.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Check License
%PROGRAMFILES(x86)%\Microsoft Office\Office14\EXCEL.EXE %TMP%\write.exe (створення процесу)

Рекомендації

1. Заборонити можливість створення небезпечних дочірніх процесів з офісних програм (наприклад, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect-against-ransomware)

Графічні зображення

Telegram
Дивіться також
Вчитель фізкультури з Дніпра — серед найкращих в Україні Вчитель фізкультури з Дніпра — серед найкращих в Україні

Він 22 роки навчає дітей любити спорт, поважати одне одного та вірити в себе. Учитель фізкультури з Дніпровської гімназії №101 — серед переможців першого етапу ...

Містяни наполягали — мерія зробила: у Дніпрі ліквідували ще одне стихійне сміттєзвалище Містяни наполягали — мерія зробила: у Дніпрі ліквідували ще одне стихійне сміттєзвалище

У відповідь на численні звернення мешканців міська влада Дніпра продовжує системну боротьбу зі стихійними сміттєзвалищами. Цього разу — непотріб прибрали у районі ...

Модернізація котелень та оновлення мереж: Дніпро готується до нового опалювального сезону Модернізація котелень та оновлення мереж: Дніпро готується до нового опалювального сезону

У Дніпрі котельні готують до нового опалювального сезону. Зараз триває капітальний ремонт двох котлів в одній з котелень у Чечелівському районі. Вони вже вичерпали ...

росіяни били дронами та артилерією по Нікопольщині: понівечена інфраструктура росіяни били дронами та артилерією по Нікопольщині: понівечена інфраструктура

Від вечора й до ранку ворог продовжував атаки на Нікопольщину. Застосовував fpv-дрони, важку артилерію, скидав боєприпас з БпЛА. Про це повідомили у ДніпроОВА. У ...

«Кладовище» автівок у дворі: чи прибере власник свої машини?! «Кладовище» автівок у дворі: чи прибере власник свої машини?!

У Дніпрі звичайний житловий квартал перетворився на сміттєзвалище старих машин. За словами очевидців, місцевий мешканець роками звозить сюди потрощені та ...

Перевірили атракціони Дніпра на собі! Чи безпечно? Перевірили атракціони Дніпра на собі! Чи безпечно?

Атракціони Дніпра — чи справді безпечно? Ми перевірили все на собі! Щорічна інспекція зони розваг у Дніпрі показала: технічний стан, документи, пожежна безпека — все ...

Сімейний відпочинок для родин військовослужбовців Сімейний відпочинок для родин військовослужбовців

У перший день літа родини військовослужбовців, ветеранів, зниклих безвісти та військовополонених мали змогу відпочити у заміському комплексі. На них чекали зустрічі ...

У Дніпрі викрито чоловіка, який вчинив диверсії на залізниці У Дніпрі викрито чоловіка, який вчинив диверсії на залізниці

За даними слідства, підозрюваний через месенджер отримував завдання від «куратора» за грошову винагороду спалити релейні шафи «Укрзалізниці». Чоловік підготував ...

Черговий ворожий терор пережила сьогодні Нікопольщина Черговий ворожий терор пережила сьогодні Нікопольщина

Протягом дня агресор застосовував дрони по районному центру, Покровській, Мирівській, Марганецькій громадах. Пошкоджені інфраструктура, будівля, що не ...

Обладнання на майже 11 млн грн КП «Дніпроводоканал» отримало гуманітарну допомогу від ЮНІСЕФ Обладнання на майже 11 млн грн КП «Дніпроводоканал» отримало гуманітарну допомогу від ЮНІСЕФ

КП «Дніпроводоканал» отримало нове обладнання від ЮНІСЕФ. У межах чергування містом 2 червня  директор цього підприємства Юрій Гамазинський відвідав дві ключові ...