Специалисты FortiGuard Labs Threat Research обнаружили сложную кибератаку, направленную на Украину и использующую многоступенчатую стратегию распространения вредоносного ПО. Атака использует методы уклонения и завершается развертыванием Cobalt Strike, использующего различные API для выполнения полезной нагрузки и установления связи с командно-контрольным (C2) сервером.
Атака начинается с создания вредоносного документа Excel на тему украинских военных, призванного заманить пользователей на включение его VBA-макросов. После включения макрос запускает загрузчик DLL, закодированный в HEX, который затем создает ярлык и выполняет DLL-файл. Загрузчик, обфусцированный с помощью ConfuserEx, выполняет различные процессы, чтобы загрузить нужный файл, установить постоянство и внедрить конечную полезную нагрузку «Cobalt Strike» с помощью DLL-инжектора.
Indicators of Compromise
Domains
- goudieelectric.shop
- simonandschuster.shop
SHA256
- 6f4642a203541426d504608eed7927718207f29be2922a4c9aa7e022f22e0deb
- 815c1571356cf328a18e0b1f3779d52e5ba11e5e4aac2d216b79bb387963c2be
- 88c97af92688d03601e4687b290d4d7f9f29492612e29f714f26a9278c6eda5b
- 9649d58a220ed2b4474a37d6eac5f055e696769f87baf58b1d3d0b5da69cbce5
- af8104e567c6d614547acb36322ad2ed6469537cd1d78ae1be65fbde1d578abc
- d90f6e12a917ba42f7604362fafc4e74ed3ce3ffca41ed5d3456de28b2d144bf
- d9b16f077cd6e00137ba208031d22fd6423d0ef303883ad4b6f78638693f2044
- de1bceb00c23e468f4f49a79ec69ec8ad3ed622a3ffc08f84c0481ad0f6f592b
