14.12.2023
1 хв
1341
“Зловмисники націлені на українських співробітників, які працюють в компаніях за межами України”, – йдеться у звіті компанії Deep Instinct, що займається кібербезпекою. UAC-0099 був вперше задокументований Українською командою реагування на комп’ютерні надзвичайні ситуації (CERT-UA) у червні 2023 року, в якому детально описані атаки на урядові організації та засоби масової інформації, мотивовані шпигунством. Ланцюжок атак використовує фішингові електронні листи, що містять вкладення файлів HTA, RAR і LNK, які можуть зв’язуватися з серверами управління (C2) для отримання додаткових корисних даних, таких як кейлоггери, програми-вимагачі та шкідливі програми для створення скріншотів LONEPAGE, шкідливе програмне забезпечення Visual Basic Script (VBS), було розгорнуто. CERT-UA заявив тоді, що “в період між 2022 і 2023 роками група отримала несанкціонований віддалений доступ до десятків комп’ютерів в Україні”.
Згідно з останнім аналізом Deep Instinct, використання HTA-вкладень є лише одним з трьох різних ланцюжків зараження, інші два використовують архіви, що саморозпаковуються (SFX), та ZIP-файли в пастці ZIP-файли вразливі до вразливості WinRAR (CVE-2023- 38831, оцінка CVSS: 7.8), яка використовується для поширення LONEPAGE. У першому випадку SFX-файл містить ярлик LNK, замаскований під файл виклику DOCX з використанням іконки Microsoft WordPad, що змушує жертву відкрити його і виконати шкідливий код PowerShell для видалення шкідливого програмного забезпечення LONEPAGE.
В іншій серії атак використовувався спеціально створений ZIP-архів, до якого застосовується CVE-2023-38831, і Deep Instinct виявив два таких штучних об’єкти, створених UAC-0099 5 серпня 2023 року, через три дні після того, як розробники WinRAR випустили патч для цієї помилки Виявлено два таких об’єкти. Спосіб дії UAC-0099 простий, але ефективний. Хоча початковий вектор зараження відрізняється, суть інфекції однакова – створення завдання за розкладом, яке виконує файли PowerShell і VBS.
