Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA інформує.
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження електронних листів з темами "рахунок", "реквізити", та посиланням, нібито, на eDisk, для завантаження одноіменних RAR-архівів.
В згаданих архівах знаходилися два захищених паролем документи-приманки ("Договір20102024.doc", "Рахунок20102024.xlsx"), а також VBS-скрипт "Пароль.vbe".
Останній містив програмний код, що реалізовував функціонал рекурсивного пошуку файлів за визначеним розширенням ("xls", "xlsx", "doc", "docx", "pdf", "txt", "csv", "rtf", "ods", "odt", "eml", "pst", "rar", "zip") на глибину п'яти каталогів від папки %USERPROFILE% з метою подальшої ексфільтрації знайдених файлів (розміром не більше 10МБ) на сервер зловмисників за допомогою методу PUT протоколу HTTP.
При цьому, передбачено роботу з використанням проксі-серверу (за умови його налаштування на комп'ютері), а значення URI кожного з HTTP запитів міститиме повний шлях до файлу, який викрадається.
В процесі дослідження CERT-UA виявлено виконуваний файл (скомпільований архів, що самостійно розпаковується), який містить однорядкову PowerShell-команду, логіка якої реалізує аналогічний функціонал з рекурсивного пошуку в каталозі %USERPROFILE% файлів за переліком розширень ('*.xls*','*doc*','*.pdf','*.eml','*.sqlite','*.pst','*.txt') та їх подальшої передачі на сервер управління за допомогою методу POST протоколу HTTP. При цьому, повний шлях файлу також передається як значення URI.
Виходячи з дати реєстрації доменного імені така активність могла здійснюватися, щонайменше, з серпня 2024 року.
Характерними ознаками управляючої інфраструктури є використанням реєстратора доменних імен HostZealot, а також імплементація вебсерверу (приймача) за допомогою Python (банер "Python Software Foundation BaseHTTP 0.6").
Для відстежування аналогічних кібератак використовується ідентифікатор UAC-0218.