Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA від суб'єктів координації отримано повідомлення про масове розповсюдження електронних листів від імені державних органів України з інструкціями щодо підвищення рівня інформаційної безпеки. У тілі листа знаходиться посилання на веб-сайт hxxps://forkscenter[.]fr/, з якого пропонується завантажити "критичні оновлення" у вигляді файлу "BitdefenderWindowsUpdatePackage.exe" розміром близько 60МБ.
З'ясовано, що згаданий файл забезпечить виконання завантажувача "alt.exe", який здійснить завантаження файлів "one.exe" та "dropper.exe" з сервісу Discord та їхній запуск. В рамках дослідження визначено, що запуск "one.exe" призведе до ураження комп'ютера шкідливою програмою Cobalt Strike Beacon, а також завантаження і виконання файлу "wisw.exe", який, у свою чергу, мав би завантажити з Discord та виконати файл "cesdf.exe" (не доступний на момент аналізу).
Файл "dropper.exe" здійснить завантаження, base64-декодування, збереження на диск та виконання файлу "java-sdk.exe". Останній, окрім забезпечення персистентності через реєстр Windows, також здійснить завантаження, base64-декодуання, збереження на диск та виконання двох інших файлів: "microsoft-cortana.exe", що класифіковано як бекдор GraphSteel, та "oracle-java.exe", який класифіковано як бекдор GrimPlant.
Зауважимо, що EXE-файли (завантажувачі з Discord) захищено протектором Themida.
З середнім рівнем впевненості асоціюємо виявлену активність з діясльністю групи UAC-0056.
Деталі від CERT-UA
В умовах воєнного стану, завдання LIGA ZAKON - надати важливу інформацію для центральних органів влади, судів, прокуратури, армії та територіальної оборони. Саме тому ми забезпечимо безкоштовний доступ до платформи LIGA360 з повною базою НПА, аналітики й новин. Замовляйте доступ за посиланням.