Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Группа реагирования на компьютерные ситуации в Украине (CERT-UA) предупредила о новой фишинговой кампании, организованной связанной с Россией группой APT28, направленной на использование ранее недокументированных вредоносных программ, таких как OCEANMAP, MASEPIE и STEELHOOK, для сбора конфиденциальной информации.
Активность, которая была обнаружена агентством в период с 15 по 25 декабря 2023 года, направлена против государственных структур с отправкой электронных сообщений, призывающих получателей нажать на ссылку для просмотра документа.
Однако, напротив, ссылки перенаправляют на вредоносные веб-ресурсы, злоупотребляющие JavaScript и "search-ms:" Обработчик протокола URI для удаления файла быстрого доступа Windows (LNK), который запускает команды PowerShell для активации цепочки заражения новой вредоносной программой, известной как MASEPIE.
MASEPIE - это инструмент на основе Python для загрузки файлов и выполнения команд, при этом связь с командно-контрольным сервером (C2) осуществляется по зашифрованному каналу с использованием протокола TCP.
Атаки еще больше открывают путь для развертывания дополнительных вредоносных программ, включая скрипт PowerShell STEELHOOK, который способен собирать данные веб-браузера и экспортировать их на сервер, управляемый участником, в формате, закодированном в Base64.
Также поставляется бэкдор на C # под названием OCEANMAP, предназначенный для выполнения команд с помощью cmd.exe.
"Протокол IMAP используется в качестве канала управления", - сообщили в CERT-UA, добавив, что постоянство достигается созданием URL-файла с именем "VMSearch.url" в папке автозагрузки Windows.
"Команды в кодировке Base64 содержатся в "Черновиках" соответствующих почтовых каталогов; каждый из черновиков содержит название компьютера, имя пользователя и версию операционной системы. Результаты выполнения команд хранятся в каталоге входящих сообщений."
Агентство также отметило, что разведка и боковое перемещение осуществляются в течение часа после первоначального взлома с использованием таких инструментов, как Impacket и SMBExec.
Раскрытие произошло через несколько недель после того, как IBM X-Force раскрыла использование APT28 приманок, связанных с продолжающейся войной Израиля и ХАМАСА, для облегчения доставки пользовательского бэкдора под названием HeadLace.
В последние недели многочисленной хакерской группе, поддерживаемой Кремлем, также приписывали использование исправленной критической уязвимости безопасности в ее почтовом сервисе Outlook (CVE-2023-23397, оценка CVSS: 9,8) для получения несанкционированного доступа к учетным записям жертв на серверах Exchange.
