Урядова команда реагування на компʼютерні надзвичайні події України CERT-UA виявила та дослідила кібератаку групи UAC-0057 (GhostWriter) на одну із державних організацій України.
- Хакери здійснюють тривале кібершпигунство щодо державних організацій та редакторів українських медіа
- Піратські програми на торентах створюють загрозу для пристроїв українців
- Хакери намагаються атакувати українців фейковими оновленнями операційної системи
Дослідивши цю кібератаку, фахівці CERT-UA виявили PPT-документ «daewdfq342r.ppt». Він містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняховського.
У випадку відкриття документу та активації макросу на компʼютері жертви буде створений виконуваний файл, а також файл-ярлик, призначений для запуску останнього. Цей файл класифіковано як шкідливу програму PicassoLoader, що типово використовується групою UAC-0057 (GhostWriter). Програма призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.
У розглянутому інциденті PicassoLoader забезпечить завантаження і запуск .NET-дроперу, що здійснить дешифрування та запуск виконуваного файлу «PhotoMetadataHandler.dll». Останній, своєю чергою, виконає дешифрування та запуск шкідливої програми Cobalt Strike Beacon на компʼютері жертви.
У CERT-UA також зауважують: дати компіляції програм та створення (модифікації) PPT-документу свідчать про те, що атаку було ініційовано не пізніше 9 червня 2023 року. Сервери управління шкідливою програмою розміщені в рф, проте доменні імена «сховані» за Cloudflare. Загальна інформація щодо атаки та індикатори кіберзагроз доступні за посиланням.