Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA досліджено кібератаку угрупування UAC-0063, здійснену 08.07.2024 по відношенню до однієї з українських науково-дослідних установ з використанням шкідливих програм HATVIBE та CHERRYSPY.
На етапі первинного ураження зловмисник, маючи доступ до облікового запису електронної пошти співробітника установи, здійснив відправку копії нещодавно відправленого листа десяткам адресатів (включаючи самого відправника), замінивши оригінальний документ-вкладення іншим документом, в який було вбудовано макрос.
У випадку відкриття DOCX-документу та активації макросу на ЕОМ буде створено та відкрито ще один документ (DOC) з макросом, який, у свою чергу, забезпечить створення на ЕОМ закодованого HTA-файлу шкідливої програми HATVIBE "RecordsService", а також, файлу запланованого завдання "C:\Windows\System32\Tasks\vManage\StandaloneService", призначеного для запуску останньої.
Використовуючи створену технічну можливість прихованого віддаленого управління ЕОМ, на комп'ютер в каталог "C:\ProgramData\Python" згодом завантажено Python-інтерпретатор та файл шкідливої програми CHERRYSPY, який, на відміну від попередньої версії, обфускованої за допомогою pyArmor, скомпільовано в .pyd (DLL) файл.
Зазначимо, що активність, яка відстежується за ідентифікатором UAC-0063, з середнім рівнем впевненості асоційовано з діяльністю угрупування APT28 (UAC-0001), яке має безпосереднє відношення до ГУ ГШ ЗС РФ. При цьому, на Virustotal виявлено DOCX-документ (MD5: 33c3e4599ad678133905e6c1589c12d2) з аналогічним макросом, який було завантажено з Вірменії 16.07.2024, контент-приманка якого містить (спотворений) текст, адресований Управлінню оборонної політики Міністерства оборони Республіки Вірменія від імені Управління міжнародного військового співробітництва Міністерства оборони Киргизької Республіки.
Слід додати, що в червні 2024 року зафіксовано числені випадки встановлення бекдору HATVIBE шляхом експлуатації вразливості (вірогідно, CVE-2024-23692) в програмному продукті HFS HTTP File Server (https://www.rejetto.com/hfs/), що свідчить про застосування угрупуванням UAC-0063 різних векторів первинної компрометації.
Реалізація кібератаки стала можливою у зв'язку з систематичним нехтуванням організацією типовими для поточного ландшафту кіберзагроз рекомендаціями, зокрема:
- відсутність двохфакторної автентифікації для облікових записів електронної пошти;
- членство облікового запису користувача в групі "Administrators";
- відсутність політик для блокування можливості запуску макросів, mshta.exe, а також інших програм (зокрема, інтерпретатору Python).
Кожен керівник та системний адміністратор (адміністратор безпеки), який допускає кібератаки, засоби, тактики, техніки і процедури реалізації яких неодноразово публічно описані, сприяє досягенню ворогом поставлених цілей.
Більше інформації на сайті CERT-UA