Шахрайські листи містять посилання на легітимний файлообмінний сервіс, перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл, це початок багатоетапної атаки
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила та дослідила нову серію цілеспрямованих кібератак на державні органи та підприємства оборонно-промислового комплексу. Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми MATCHBOIL, MATCHWOK та DRAGSTARE. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами. Про це повідомляє Кіберполіція.
Атака починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, «судові повістки». Листи містять посилання (іноді скорочене) на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки.
Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп'ютері жертви два файли: один з HEX-кодованими даними, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний крок – PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера MATCHBOIL, який закріплюється в системі через власне заплановане завдання. Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу. Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик, технік та процедур угруповання.
Головне завдання програми – доставити на уражений комп'ютер основне шкідливе навантаження. MATCHBOIL збирає базову інформацію про систему (ID процесор, серійний номер BIOS, ім'я користувача, MAC-адресу) для ідентифікації жертви на сервері управління. Далі він завантажує наступний компонент атаки, зберігає його як COM-файл та створює ключ у реєстрі для забезпечення його автоматичного запуску.
Він надає зловмисникам можливість віддалено виконувати довільні PowerShell-команди на ураженій системі. Команди надходять із сервера управління в зашифрованому вигляді та виконуються через інтерпретатор PowerShell, який програма попередньо перейменовує та переміщує. Бекдор має елементи антианалізу, зокрема перевіряє систему на наявність запущених процесів інструментів на кшталт Wireshark, Fiddler чи Procmon.
Він виконує комплексний збір даних:
Для протидії описаній загрозі та посилення загального рівня кіберзахисту необхідно вжити таких заходів:
Докладніше про шахрайську схему і захист від неї, читайте за посиланням.
Фішинг — це вид шахрайства, коли зловмисники обманом змушують жертву розкрити особисту інформацію (паролі, дані карток, логіни) або встановити шкідливе програмне забезпечення. Шахраї створюють підроблені сайти, електронні листи чи повідомлення, які виглядають як офіційні, щоб викрасти дані. Фішинг часто використовує психологічний тиск, наприклад, терміновість чи страх.