- 9,410
- 18
- 8 Ноя 2022
Своей целью хакеры поставили извлечение конфиденциальных переписок и документов жертв.
Как недавно выяснили исследователи, хакерская группировка Turla, использует новый .NET -бэкдор под названием DeliveryCheck (также известный как CAPIBAR или GAMEDAY) для атак на государственные структуры Украины.
По данным Microsoft , полученным в сотрудничестве с CERT-UA , DeliveryCheck распространяется через фишинговые письма с вредоносными макросами. После успешного заражения бэкдор устанавливает постоянное присутствие в системе при помощи задачи планировщика и связывается с C2-сервером для получения дальнейших инструкций по скачиванию произвольных полезных нагрузок.
В некоторых случаях заражение также сопровождается установкой известного импланта Turla под названием Kazuar для кражи конфигурационных файлов приложений, журналов событий и различных данных из веб-браузеров.
Конечная цель атак — получить доступ к переписке в приложении Signal для Windows , позволяя злоумышленникам извлекать конфиденциальные разговоры, документы и изображения из взломанных систем.
Отличительной особенностью DeliveryCheck является способность проникать в серверы Microsoft Exchange для установки серверной составляющей с использованием Desired State Configuration ( DSC ) — платформы управления PowerShell для автоматизации настройки систем Windows.
«DSC генерирует файл в формате Managed Object Format ( MOF ), содержащий PowerShell-скрипт, который загружает встроенную .NET-полезную нагрузку в память, фактически превращая законный сервер в центр управления вредоносным ПО», — пояснили в Microsoft.
Как не сложно догадаться, в проведении данной вредоносной кампании зарубежные специалисты обвиняют российские хакерские силы, да ещё и финансируемые государством. Тем не менее, правительство РФ неоднократно отрицало свою причастность к каким-либо кибератакам и любому рода вмешательства в функционирование учреждений других государств.
Как недавно выяснили исследователи, хакерская группировка Turla, использует новый .NET -бэкдор под названием DeliveryCheck (также известный как CAPIBAR или GAMEDAY) для атак на государственные структуры Украины.
По данным Microsoft , полученным в сотрудничестве с CERT-UA , DeliveryCheck распространяется через фишинговые письма с вредоносными макросами. После успешного заражения бэкдор устанавливает постоянное присутствие в системе при помощи задачи планировщика и связывается с C2-сервером для получения дальнейших инструкций по скачиванию произвольных полезных нагрузок.
В некоторых случаях заражение также сопровождается установкой известного импланта Turla под названием Kazuar для кражи конфигурационных файлов приложений, журналов событий и различных данных из веб-браузеров.
Конечная цель атак — получить доступ к переписке в приложении Signal для Windows , позволяя злоумышленникам извлекать конфиденциальные разговоры, документы и изображения из взломанных систем.
Отличительной особенностью DeliveryCheck является способность проникать в серверы Microsoft Exchange для установки серверной составляющей с использованием Desired State Configuration ( DSC ) — платформы управления PowerShell для автоматизации настройки систем Windows.
«DSC генерирует файл в формате Managed Object Format ( MOF ), содержащий PowerShell-скрипт, который загружает встроенную .NET-полезную нагрузку в память, фактически превращая законный сервер в центр управления вредоносным ПО», — пояснили в Microsoft.
Как не сложно догадаться, в проведении данной вредоносной кампании зарубежные специалисты обвиняют российские хакерские силы, да ещё и финансируемые государством. Тем не менее, правительство РФ неоднократно отрицало свою причастность к каким-либо кибератакам и любому рода вмешательства в функционирование учреждений других государств.
- Источник новости
- www.securitylab.ru
