Кіберкоманда Держспецзв’язку CERT-UA виявила нові хакерські атаки на державні органи та підприємства оборонно-промислового комплексу України. Атаки здійснює угруповання UAC-0099, яке використовує оновлений інструментарій та нові шкідливі програми: MATCHBOIL, MATCHWOK та DRAGSTARE.
Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами.
Атака починається з розсилки фішингових електронних листів, що маскуються під офіційні документи, зокрема “судові повістки”. Листи містять посилання на легітимний файлообмінний сервіс, перехід за яким завантажує ZIP-архів зі шкідливим HTA-файлом.
Виконання HTA-файлу запускає VBScript-код, який створює на комп’ютері жертви файли з кодованими даними та PowerShell-кодом, а також заплановане завдання для їх виконання. PowerShell-скрипт декодує дані, формуючи виконуваний файл лоадера MATCHBOIL, який закріплюється в системі.
Дослідження CERT-UA виявило три нові зразки шкідливого ПЗ:
- MATCHBOIL: доставляє основне шкідливе навантаження, збирає базову інформацію про систему для ідентифікації жертви та завантажує наступний компонент атаки.
- MATCHWOK: надає зловмисникам можливість віддалено виконувати довільні PowerShell-команди на ураженій системі. Має елементи антианалізу, перевіряючи наявність інструментів моніторингу.
- DRAGSTARE: виконує комплексний збір даних – системна інформація та викрадення аутентифікаційних даних (логіни, паролі, cookie) з Chrome та Firefox. Також здійснює пошук та архівування документів (.docx, .pdf, .ovpn, .rdp тощо) на робочому столі, у документах та завантаженнях, відправляючи їх на сервер зловмисників.