CERT-UA обнаружен PPT-документ "daewdfq342r.ppt", содержащий макрос и изображение-миниатюру с эмблемой Национального университета обороны Украины имени Ивана Черняховского.
В случае открытия документа и активации макроса на ЭВМ жертвы будет создан исполняемый файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а также файл-ярлык, предназначенный для запуска последнего.
Файл "glkgh90kjykjkl650kj0.dll" классифицирован как вредоносная программа PicassoLoader, которая типично используется группой UAC-0057 (GhostWriter) и предназначена для загрузки изображения, его дешифровки и запуска полученного пейлоада. При этом, в последнее время вместо AES применяется RC4.
В рассматриваемом инциденте PicassoLoader обеспечит загрузку и запуск .NET-дропера, который осуществит дешифровку (AES) и запуск исполняемого файла "PhotoMetadataHandler.dll", который, в свою очередь, выполнит дешифровку и запуск Cobalt Strike Beacon на ЭВМ жертвы.
Персистентность запуска упомянутого DLL-файла обеспечивается либо путем создания запланированной задачи ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), либо за счет создания LNK-файла в папке автозапуска ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").
Даты компиляции программ и создания (модификации) PPT-документа свидетельствуют о том, что атака инициирована не позднее 09.06.2023. Серверы управления вредоносной программой "спрятаны" за Cloudflare.
Indicators of Compromise
Domains
- bourns.space
- yotsubasociety.website
URLs
- https://bourns.space/p/covers/assets/images/lee-leopard.jpg
- https://yotsubasociety.website/app/yotsuba/edit
- https://yotsubasociety.website/app/yotsuba/publish
MD5
- 23fba3c3ff0c635d340a644ef75b0e23
- 4213d8161b9a793a30e218f9a67fa87f
- 6e556f6d3f74a4d70b934a0b9a8e3f5f
- 70a624c4e8db4b88a35711a194c79c29
- 8ab2a5ebacade6a32485405f1ab4b2cc
- 911956832343545d7bc7044cf1cbae5a
- adf00c9e47cc724dd4ff1f9af14401b5
- c35545b0bfbd0881bc761e8a7dfddcb2
- d752f198edcbe8c3483525ca466768c8
SHA256
- 35d1e819d2ac2535f0aa9e2294570135f37519386872c415e326146e931b8fb9
- 48535a2799d643f082f44d960524de85e866b419d797cf30e0727a183c916b57
- 57143e3d496ca0e417b6da12e037eab108177624340d329ec1100d5bf7f85d3b
- 6a08f75cadd6913511cae345d46ee8eecb39570cc00fef676034a922925e14b9
- 84ce16108cb25d85d86bc86c9f10031db073d682e292ab30b2cf155f7f3abd8d
- 991a19fb00cda372dd1ce4a42580dc40872da5c5bfbb34301615f3870ea3fb58
- c9c31f8e77f61d3323733b3c0dfa4d0cef4715c8aedb0e662088b49834b274ee
- f7c58e785c99f99feaa6a28f6f79cdd48ebbcbda3b5c2736ba566d23320338e5
- fe9959c6b04740491135a043ed568d1df2a452c3ef64362b0ef53c1e97825f7e