Cobalt Strike в манящей обёртке: вредоносные Excel-таблицы заполонили Украину

Исследователи из компании Fortinet зафиксировали новую сложную вредоносную операцию, направленную на устройства в Украине. Основная цель злоумышленников — внедрение Cobalt Strike и захват контроля над скомпрометированными хостами.

По словам исследователя по безопасности Кары Лин, атака начинается с вредоносного файла Microsoft Excel, содержащего встроенный VBA -скрипт. Этот скрипт запускает многоэтапное заражение, в результате которого устанавливается связь с C2 -сервером злоумышленников.

Cobalt Strike, созданный компанией Fortra, изначально был предназначен для моделирования атак в целях проверки безопасности. Однако его взломанные версии активно используются злоумышленниками в преступных целях.

Начальный этап атаки в рассмотренной вредоносной операции включает Excel-документ, отображающийся на украинском языке. С июля 2022 года Microsoft по умолчанию блокирует макросы в Office, что добавляет сложности для атакующих. Тем не менее, со временем хакеры наловчились использовать социальную инженерию таким образом, чтобы само содержимое документа побуждало жертву активировать поддержку макросов.

После включении макросов в фоновом режиме запускает DLL -загрузчик через утилиту regsvr32. Этот загрузчик отслеживает активные процессы на наличие Avast Antivirus и Process Hacker. При их обнаружении он завершает работу.

В случае отсутствия таких процессов загрузчик подключается к удалённому серверу для загрузки следующего этапа вредоносного ПО, но только если устройство находится в Украине.

Полученный файл представляет собой DLL, который запускает другой DLL-файл, выполняющий роль инжектора. Этот инжектор важен для извлечения и запуска финального вредоносного ПО. Заключительный этап атаки включает развёртывание Cobalt Strike Beacon, который устанавливает связь с С2-сервером хакеров.

«Проверки на основе геолокации во время скачивания полезных нагрузок позволяют атакующим скрыть подозрительную активность, избегая внимания аналитиков», — объяснила Лин. «Использование закодированных строк помогает скрыть важные импортируемые строки, облегчая развёртывание DLL-файлов и расшифровку последующих нагрузок».

Кроме того, использование функции самоуничтожения способствует обходу мер безопасности, а DLL-инжектор применяет задержки и завершает родительские процессы для избегания анализа в песочнице и антиотладочных механизмов.

Данная вредоносная операция демонстрирует высокую степень изощренности и целенаправленность на украинские объекты. Злоумышленники используют тактики социальной инженерии, геолокационной фильтрации, обхода антивирусов и песочниц для успешного внедрения вредоносного ПО Cobalt Strike.