Сервис CERT-UA получил информацию о попытке атаки на представителя Сил обороны Украины через вредоносное программное обеспечение.
Атака произошла путем отправки файла "Супровід.rar" через мессенджер Signal под предлогом запроса документов для замещения должности в ООН. Архив содержал эксплойт для уязвимости в программном обеспечении WinRAR (CVE-2023-38831). Если архив будет открыт, будет запущен CMD-файл "супровід.pdf .cmd", что приведет к запуску вредоносной программы COOKBOX через PowerShell-скрипты. Сервер управления COOKBOX использует сервис динамического DNS NoIP, который был заблокирован.
Indicators of Compromise
Domains
- netman.servehttp.com
- worker-misty-mouse-6ac7.aky15825.workers.dev
URLs
- http://netman.servehttp.com
- http://worker-misty-mouse-6ac7.aky15825.workers.dev/
MD5
- 1e857958a3c7f909ee1370c66d71adfd
- 2fec3ab587e6b5533b4c6b3c11dd357a
- ba1859659089253621e5a65181ea94cd
- cc1732ce2d2cd79dc85893fdc3b7d143
SHA256
- 56b569912a6e1c4c08e5612c0ef5ddf9f238b1d708621b89963b47b31e45cde1
- 6652b46987350e831678d7a33a70bce94c8c9cca137f0bb0efbbd0c07279cbb6
- 8f8abfa6717ad2043a295d16b5aeeac3e7084b7994f6eec8351e18a9a3c59997
- d8ccaef116cada9c558f9e912d5cf7ef2978082611e677f6f55ca233f47a2f68