Кібератака на державні органи України з використанням шкідливої програми Cobalt Strike Beacon (CERT-UA#4145)

У тілі листа знаходиться посилання на веб-сайт hxxps://forkscenter[.]fr/, з якого пропонується завантажити "критичні оновлення" у вигляді файлу "BitdefenderWindowsUpdatePackage.exe" розміром близько 60МБ.

З'ясовано, що згаданий файл забезпечить виконання завантажувача "alt.exe", який здійснить завантаження файлів "one.exe" та "dropper.exe" з сервісу Discord та їхній запуск. В рамках дослідження визначено, що запуск "one.exe" призведе до ураження комп'ютера шкідливою програмою Cobalt Strike Beacon. Виконуваний файл "dropper.exe" здійснить завантаження base64-кодованих даних, та їхнє декодування в EXE-файл, розроблений з використанням мови програмування Go. Аналіз файлів продовжується. Зауважимо, що EXE-файли захищено протектором Themida.

З середнім рівнем впевненості асоціюємо виявлену активність з діясльністю групи UAC-0056.

Індикатори компрометації 

Файли: 

Мережеві: 

Хостові: 

Графічні зображення

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA