За нажив правила інструкція до БПЛА
Фішингові атаки на Україну помітно активізувалися з початком повномасштабного вторгнення. На початку вересня CERT-UA – група реагування на комп’ютерні надзвичайні ситуації України, яка функціонує у складі Держспецзв’язку, повідомила, що її фахівці запобігли кібератаці на неназваний об’єкт української критичної інфраструктури. В організації атаки звинувачують угруповання АРТ28, спонсороване росією. А за кілька тижнів по тому з’явилася нова розробка, цього разу спрямована на оборонний сектор України.
Позаяк дрони стали інструментом, що повсюдно і постійно використовується українською армією, почали з’являтися файли-приманки зі шкідливим ПЗ, оформлені, як інструкції з експлуатації БПЛА.
Звіт аналітиків компанії Securonix Дена Юзвика, Тіма Пека і Олега Колеснікова
Вихідною точкою атаки є файл Microsoft Compiled HTML Help (CHM). Під час відкриття він запускає шкідливий JavaScript, вбудований в одну зі сторінок HTML, для виконання коду PowerShell. Код встановлює зв’язок з віддаленим сервером і отримує заплутаний двійковий файл. Корисне навантаження на базі Windows декодується для вилучення агента Merlin, своєю чергою, налаштованого на зв’язок із сервером керування. Постексплуатація у зламаній системі ефективно захоплює контроль над хостом.
Дослідники зазначають, що, хоча ланцюжок атак досить простий, TTPs і методи обфускації, вживані злочинцями, доволі складні і дозволяють уникнути виявлення. На початку серпня 2023 року CERT-UA розкрила схожий ланцюг атака, в якому файли CHM використовуються як наживи для зараження комп’ютерів інструментом з відкритим вихідним кодом. І, хоча отримання файлу довідки Microsoft через Інтернет є досить незвичайним, документи-наживи створені максимально подібними на стандартні довідкові файли.
Фішингові атаки, хай би яку мету вони не переслідували, триватимуть і надалі, а їхні наживи ставатимуть щораз вигадливішими і правдоподібнішими. А запобігти їм може пильність і обережність – бо це саме той випадок, коли варто сім разів подумати, і жодного разу не відкрити підозрілий файл, хай би він навіть надійшов від друга, або – маскувався б під інструкцію до БПЛА.
