Киберкоманда Госспецсвязи CERT-UA обнаружила новые случаи хакерских атак на государственные органы и предприятия оборонно-промышленного комплекса. Все начинается с рассылки фишинговых электронных писем, которые часто маскируются под официальные документы, например, «судебные повестки».
Атаки осуществляет группировку UAC-0099, существенно обновившую свой инструментарий и начавшую использовать новые вредоносные программы MATCHBOIL, MATCHWOK и DRAGSTARE. Злоумышленники применяют многоэтапную цепь поражения, направленную на угон данных и получение удаленного контроля над системами, Госспецсвязи.
Письма содержат ссылку (иногда сокращенную) на легитимный файлообменный сервис. Переход по нему инициирует загрузку ZIP-архива, содержащего вредоносный HTA-файл. Это начало многоэтапной атаки.
Выполнение файла HTA запускает VBScript-код. Этот скрипт создает на компьютере жертвы два файла: один с HEX-кодированными данными, другой – с PowerShell-кодом. Для обеспечения выполнения этого кода создается запланированное задание. Следующий шаг – PowerShell-скрипт декодирует данные и формирует из них исполняемый файл лоадера MATCHBOIL, который закрепляется в системе через запланированное задание.
Исследование CERT-UA выявило три новых образца вредоносного ПО:
MATCHBOIL — задача программы доставить на пораженный компьютер основную вредную нагрузку. Собирает базовую информацию о системе (ID процессор, серийный номер BIOS, имя пользователя, MAC-адрес) для идентификации жертвы на сервере управления. Далее загружает следующий компонент атаки, сохраняет его в качестве COM-файла и создает ключ в реестре для обеспечения его автоматического запуска.
MATCHWOK – предоставляет злоумышленникам возможность удаленно выполнять произвольные PowerShell-команды на пораженной системе. Команды поступают с сервера управления в зашифрованном виде и выполняются через интерпретатор PowerShell, который программа предварительно переименовывает и перемещает. Бекдор имеет элементы антианализа, в частности проверяет систему на наличие запущенных процессов инструментов типа Wireshark, Fiddler или Procmon.
DRAGSTARE - выполняет комплексный сбор данных: системная информация (имя компьютера, данные об ОС, процессорах, памяти, дисках, сетевых интерфейсах); а также данные браузеров – похищает аутентификационные данные (логины, пароли, cookie) из Chrome и Firefox, используя DPAPI для расшифровки; осуществляет рекурсивный поиск на рабочем столе, в документах и загрузках файлов с расширениями .docx, .doc, .xls, .pdf, .ovpn, .rdp, .txt. найденные файлы архивируются и отправляются на сервер злоумышленников.
Атаки осуществляет группировку UAC-0099, существенно обновившую свой инструментарий и начавшую использовать новые вредоносные программы MATCHBOIL, MATCHWOK и DRAGSTARE. Злоумышленники применяют многоэтапную цепь поражения, направленную на угон данных и получение удаленного контроля над системами, Госспецсвязи.
Письма содержат ссылку (иногда сокращенную) на легитимный файлообменный сервис. Переход по нему инициирует загрузку ZIP-архива, содержащего вредоносный HTA-файл. Это начало многоэтапной атаки.
Выполнение файла HTA запускает VBScript-код. Этот скрипт создает на компьютере жертвы два файла: один с HEX-кодированными данными, другой – с PowerShell-кодом. Для обеспечения выполнения этого кода создается запланированное задание. Следующий шаг – PowerShell-скрипт декодирует данные и формирует из них исполняемый файл лоадера MATCHBOIL, который закрепляется в системе через запланированное задание.
Исследование CERT-UA выявило три новых образца вредоносного ПО:
MATCHBOIL — задача программы доставить на пораженный компьютер основную вредную нагрузку. Собирает базовую информацию о системе (ID процессор, серийный номер BIOS, имя пользователя, MAC-адрес) для идентификации жертвы на сервере управления. Далее загружает следующий компонент атаки, сохраняет его в качестве COM-файла и создает ключ в реестре для обеспечения его автоматического запуска.
MATCHWOK – предоставляет злоумышленникам возможность удаленно выполнять произвольные PowerShell-команды на пораженной системе. Команды поступают с сервера управления в зашифрованном виде и выполняются через интерпретатор PowerShell, который программа предварительно переименовывает и перемещает. Бекдор имеет элементы антианализа, в частности проверяет систему на наличие запущенных процессов инструментов типа Wireshark, Fiddler или Procmon.
DRAGSTARE - выполняет комплексный сбор данных: системная информация (имя компьютера, данные об ОС, процессорах, памяти, дисках, сетевых интерфейсах); а также данные браузеров – похищает аутентификационные данные (логины, пароли, cookie) из Chrome и Firefox, используя DPAPI для расшифровки; осуществляет рекурсивный поиск на рабочем столе, в документах и загрузках файлов с расширениями .docx, .doc, .xls, .pdf, .ovpn, .rdp, .txt. найденные файлы архивируются и отправляются на сервер злоумышленников.
