Цільові атаки Turla (UAC-0024, UAC-0003) з використанням шкідливих програм CAPIBAR та KAZUAR (CERT-UA#6981)

31.07.2023 15:28

Загальна інформаціяі

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються заходи з протидії кіберзагрозам. Так, з 2022 року за ідентифікатором UAC-0024 відслідковується активність, що полягає у здійсненні цільових кібератак, спрямованих проти сил оборони з метою шпигунства із застосуванням шкідливої програми CAPIBAR (Microsoft: "DeliveryCheck", Mandiant: "GAMEDAY"). 

Окрім застосування XSLT (Extensible Stylesheet Language Transformations) та COM-hijacking специфіка CAPIBAR полягає в наявності серверної частини, що, зазвичай, встановлюється на скомпрометованих серверах MS Exchange у вигляді MOF (Managed Object Format) файлу із застосуванням PowerShell-інструменту Desired State Configuration (DCS), фактично перетворюючи легітимний сервер в центр управління шкідливою програмою.

На етапі первинної компрометації, окрім надсилання електронних листів з додатком у вигляді документу з макросом, зловмисники можуть здійснювати модифікацію документів (наприклад, на внутрішньому загальнодоступному мережевому ресурсі), додаючи в структуру легітимного макросу декілька рядків коду, які забезпечать запуск PowerShell.

csirt

csirt

При цьому, за певних обставин на уражені ЕОМ довантажується складний багатофункціональний бекдор KAZUAR, в якому реалізовано більше 40 функцій, серед яких: "chakra" (запуск JS за допомогою ChakraCore), "eventlog" (отримання даних з журналів ОС), "forensic" (збір артефактів: compatibilityassistant, exploreruserassist, activitiescache, prefetchfiles, muicache), "steal" (викрадення автентифікаційних даних: passwords, bookmarks, autofill, history, proxies, cookies, filezilla, chromium, mozilla, outlook, openvpn, system, winscp, signal, git), "unattend" (викрадення баз даних/конфігураційних файлів програм: KeePass, Azure, Gcloud, AWS, bluemix та інших).

Серед іншого відомі випадки ексфільтрації з інфікованих ЕОМ файлів за визначеним переліком розширень з використанням легітимної програми rclone.

З урахуванням особливостей тактик, технік та процедур, а також факту використанням програми KAZUAR, з достатнім рівнем впевненості описану активність (UAC-0024) асоційовано з угрупуванням Turla (UAC-0003, KRYPTON, Secret Blizzard), діяльність яких скеровується фсб росії.

З метою створення сприятливих умов для детектування загрози, зразки шкідливих програм розповсюджено серед компаній-розробників засобів захисту.

Принагідно висловлюємо вдячність команді Microsoft Threat Intelligence (@MsftSecIntel) за безперервне сприяння в боротьбі з кіберзагозами в масштабах всієї країни.

джерело


| Всі новини

Контакти