Украинские организации столкнулись с новой волной целевых фишинговых атак, использующих старые уязвимости и проверенные методы

Начальный этап компрометации, как это часто бывает, основан на человеческом факторе. Жертве отправляется архив RAR, содержащий несколько файлов. Ключевым элементом является ярлык LNK, который при запуске инициирует сложную цепочку выполнения вредоносного кода. При этом злоумышленники используют уязвимости в популярном архиваторе WinRAR, что позволяет им скрыть истинное содержимое и обойти некоторые базовые защиты. В качестве приманки используется PDF-документ с названием "Відомості з реєстру військовозобов’язаних про працівників №20260409-7496423-1.pdf" - явно рассчитанный на сотрудников украинских государственных или коммерческих структур, связанных с военным учетом.

После запуска LNK-файла активируется скрытая команда PowerShell, которая занимается декодированием и выполнением следующей стадии вредоносной нагрузки. Код на этом этапе активно обфусцирован: он содержит тысячи бесполезных вызовов команд, случайные имена функций и вставки, призванные задержать выполнение для обхода песочниц. Однако за этим шумом скрывается относительно простая логика. Основная функция выполняет декодирование второстепенного бинарного файла с помощью операции XOR, после чего в памяти выделяется область, куда записывается и выполняется финальный шелл-код. Именно этот этап и приводит к запуску стилера.

Основной вредоносный модуль, извлечённый исследователями, является вариантом GIFTEDCROOK. Его архитектура демонстрирует прагматичный подход разработчиков. Внутренняя логика заполнена мусорным кодом и ложными контрольными путями, что затрудняет статический анализ и может заставить менее опытного аналитика отказаться от изучения. Однако ключевые функции, отвечающие за кражу данных, достаточно стандартны. Они используют алгоритм шифрования RC4 для защиты конфигурации и коммуникации, а также реализуют клиент для эксфильтрации информации. Данные передаются на сервер злоумышленников чанками, примерно по 133 килобайта за раз, что является простым, но рабочим решением для обхода возможных ограничений на размер передаваемых данных.

Сервер управления, Command and Control (C2), динамически восстанавливается в процессе выполнения программы после расшифровки с помощью того же RC4. Аналитикам удалось извлечь соответствующий URL, который указывал на инфраструктуру, размещённую по адресу 136.0.141[.]138. Проверка показала, что сервер использует самоподписанный SSL-сертификат, что является распространённой практикой для подобных операций. Как сообщают исследователи, весь процесс - от фишингового письма до передачи данных - представляет собой отлаженный конвейер, построенный из доступных "строительных блоков". Группа UAC-0226 не стремится к технологической изощрённости, вместо этого делая ставку на надёжность и воспроизводимость атак, которые продолжают срабатывать, несмотря на всю их предсказуемость.

Этот инцидент в очередной раз подчёркивает, что основную опасность зачастую представляют не экзотические угрозы, а тщательно отработанные схемы, эксплуатирующие базовые уязвимости в процессах и человеческую доверчивость. Для защиты от подобных кампаний критически важны регулярное обучение сотрудников, блокировка исполняемых файлов из ненадёжных источников (включая LNK), своевременное обновление ПО для устранения известных уязвимостей (таких как CVE в WinRAR) и внедрение решений для поведенческого анализа, способных обнаруживать аномальные активности, такие как динамическое выделение памяти и выполнение кода из PowerShell. Простота атаки не должна вводить в заблуждение - её эффективность доказывает, что фундаментальные принципы кибергигиены по-прежнему остаются главным рубежом обороны.

URLs

• https://136.0.141.138:8406/rcv/

SHA256

• 2a8ea9f1ad8936fb302243faa64b91c5767df411923715cbdb1a869e3bfd7e6d
• 7200a9f1e1ea51b66ab9c9274e9d8f805633179634e8ff4dcb8ef82bc02518df