Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA інформує.

Дата: 25.10.2024 09:26
Кількість переглядів: 147

Фото без опису

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження електронних листів з темами "рахунок", "реквізити", та посиланням, нібито, на eDisk, для завантаження одноіменних RAR-архівів.

В згаданих архівах знаходилися два захищених паролем документи-приманки ("Договір20102024.doc", "Рахунок20102024.xlsx"), а також VBS-скрипт "Пароль.vbe".

Останній містив програмний код, що реалізовував функціонал рекурсивного пошуку файлів за визначеним розширенням ("xls", "xlsx", "doc", "docx", "pdf", "txt", "csv", "rtf", "ods", "odt", "eml", "pst", "rar", "zip") на глибину п'яти каталогів від папки %USERPROFILE% з метою подальшої ексфільтрації знайдених файлів (розміром не більше 10МБ) на сервер зловмисників за допомогою методу PUT протоколу HTTP.

При цьому, передбачено роботу з використанням проксі-серверу (за умови його налаштування на комп'ютері), а значення URI кожного з HTTP запитів міститиме повний шлях до файлу, який викрадається.

В процесі дослідження CERT-UA виявлено виконуваний файл (скомпільований архів, що самостійно розпаковується), який містить однорядкову PowerShell-команду, логіка якої реалізує аналогічний функціонал з рекурсивного пошуку в каталозі %USERPROFILE% файлів за переліком розширень ('*.xls*','*doc*','*.pdf','*.eml','*.sqlite','*.pst','*.txt') та їх подальшої передачі на сервер управління за допомогою методу POST протоколу HTTP. При цьому, повний шлях файлу також передається як значення URI.

Виходячи з дати реєстрації доменного імені така активність могла здійснюватися, щонайменше, з серпня 2024 року.

Характерними ознаками управляючої інфраструктури є використанням реєстратора доменних імен HostZealot, а також імплементація вебсерверу (приймача) за допомогою Python (банер "Python Software Foundation BaseHTTP 0.6").

Для відстежування аналогічних кібератак використовується ідентифікатор UAC-0218.


« повернутися до розділу «Новини»

Код для вставки на сайт

Онлайн-опитування:

Увага! З метою уникнення фальсифікацій Ви маєте підтвердити свій голос через E-Mail
Скасувати

Результати опитування

Дякуємо!

Ваш голос було зараховано

Форма подання електронного звернення


Авторизація в системі електронних звернень

Авторизація в системі електронних петицій

Авторизація

УВАГА!

Шановні користувачі нашого сайту. В процесі авторизації будуть використані і опубліковані Ваші:

Прізвище, ім'я та по батькові, Email, а також регіон прописки.

Решта персональних даних не будуть зберігатися і не можуть бути використані без Вашого відома.

Погоджуюсь на передачу персональних даних