Цілеспрямовані атаки на силиоборони з використанням нового бекдору CABINETRAT
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, що діє у складі ДЦКЗ Держспецзв’язку, виявила та дослідила серію цілеспрямованих кібератак на представників Сил оборони України.
Для ураження комп’ютерів зловмисники, які відстежуються за ідентифікатором UAC-0245, використовують шкідливі XLL-файли, що маскуються під важливі документи. Наприклад, «Звернення УБД.xll» або документи щодо затримання осіб на кордоні. Розповсюдження здійснюється, зокрема, через месенджер Signal.
Про це повідомляє Державна служба спеціального зв’язку та захисту інформації України.
Основною метою є встановлення повнофункціонального бекдору CABINETRAT для отримання віддаленого контролю над ураженою системою.
На відміну від поширених атак із використанням документів Word, XLL-файли є виконуваними, і їх відкриття в Microsoft Excel ініціює складний, багатоетапний ланцюг ураження.
Кінцевою метою цього ланцюга є запуск прихованого процесу Excel, який автоматично завантажує loader.xll. Цей файл зчитує та виконує основний шкідливий компонент, прихований у звичайному PNG-зображенні. Цей шеллкод і є бекдором CABINETRAT.
CERT-UA рекомендує з особливою обережністю ставитися до будь-яких архівів та файлів, отриманих через месенджер, навіть від знайомих контактів, чиї акаунти могли бути зламані.
Деталі – на сайті CERT-UA https://cert.gov.ua/article/6285549
