Вредоносное ПО-бэкдор, используемое против украинских оборонных предприятий
Был обнаружен новый бэкдор на основе .NET под названием DeliveryCheck (также известный как CAPIBAR или GAMEDAY), специально предназначенный для оборонного сектора в Украине и Восточной Европе. Этот сложный бэкдор может доставлять последующие полезные нагрузки.
Атаки были приписаны российскому национальному государственному деятелю по имени Турла, который известен под разными именами, такими как Iron Hunter, Secret Blizzard (ранее Krypton), Uroburos, Venomous Bear и Waterbug. Известно, что Турла связан с Федеральной службой безопасности России (ФСБ). Вектор атаки предполагает распространение DeliveryCheck по электронной почте с использованием документов, содержащих вредоносные макросы. После проникновения DeliveryCheck продолжает выполнять запланированное задание, которое загружает и выполняет его в памяти. Кроме того, он связывается с сервером управления и контроля (C2) для получения задач, включая запуск произвольных полезных нагрузок, встроенных в таблицы стилей XSLT.
Начальная атака использует имплантат казуара
В некоторых случаях первоначальный доступ сопровождается распространением известного имплантата Turla, известного как Kazuar. Этот имплант хорошо оснащен для кражи файлов конфигурации приложений, журналов событий и различных данных из веб-браузеров. Основная цель этих атак — эксфильтрация сообщений из приложения обмена сообщениями Signal в Windows, что позволяет злоумышленникам получить доступ к конфиденциальным разговорам, документам и изображениям в целевых системах.
Важным аспектом DeliveryCheck является его способность скомпрометировать серверы Microsoft Exchange путем установки компонента на стороне сервера с помощью PowerShell Desired State Configuration (DSC) — платформы, упрощающей автоматическую настройку систем Windows. Это позволяет DSC генерировать файл в формате управляемых объектов (MOF), содержащий сценарий PowerShell, который загружает встроенную полезную нагрузку .NET в память, эффективно превращая законный сервер в вредоносный центр C2.
Украина ликвидирует пропагандистскую ботоферму
Параллельно Киберполиция Украины успешно ликвидировала масштабную ботоферму, в которой фигурировали более 100 человек, занимавшихся распространением враждебной пропаганды, оправдывающей российское вторжение. Группа также занималась утечкой личной информации, принадлежащей гражданам Украины, и выполнением различных схем мошенничества. В рамках этой операции в 21 месте были проведены обыски, в результате которых изъято компьютерное оборудование, мобильные телефоны, более 250 GSM-шлюзов и около 150 000 SIM-карт, принадлежащих различным операторам мобильной связи.
