UAC-0001 (APT28) tevékenység: PowerShell parancs a vágólapon
Az ukrán CERT (CERT-UA), a helyi önkormányzatoknak küldött, „Táblázatcsere” tárgyú e-maileket és egy Google-táblázatot imitáló link terjesztésével kapcsolatos kibertevékenységet azonosított, amit “átlagos megbízhatósági szinten” az UAC-0001 csoport (APT28) tevékenységéhez kötik. A linkre való kattintás esetén a felhasználónak egy, a reCAPTCHA botvédelmi mechanizmust szimuláló ablak jelenik meg. Ha a felhasználó a „Nem vagyok robot” feliratot megjelenítő mezőbe kattint, akkor egy PowerShell parancsot másol a számítógép vágólapjára, és a megjelenő ablakban „utasításokat” jelenít meg, amelyben a „ Win+R” billentyűkombináció lenyomására (parancssor megnyitása), majd a „Ctrl+V” második billentyűkombináció végrehajtására (parancs beszúrása a parancssorba) és az „Enter” megnyomására kérik, ami a PowerShell parancs végrehajtásához vezet.
Az említett parancs letölti és futtatja a „browser.hta” HTA fájlt (törli a vágólap tartalmát) és a „Browser.ps1” PowerShell szkriptet, amelynek fő célja:
- az SSH letöltése és elindítása az alagút létrehozásához;
- a Chrome, Edge, Opera, Firefox böngészők hitelesítési és egyéb adatainak ellopása és kiszivárogtatása;
- a Metasploit szoftvereszköz letöltése és futtatása.
A CERT-UA megjegyzi, hogy 2024. szeptemberében egy olyan incidenst vizsgáltak (CERT-UA#10859), amely a Roundcube sérülékenységére (CVE-2023-43770) vonatkozó exploitot tartalmazó e-mailek terjesztéséhez kapcsolódott, amelynek sikeres működése technikai lehetőséget teremtett a felhasználó hitelesítési adatainak ellopására, valamint a „SystemHealthChek” szűrő (ManageSiev plugin) létrehozásához vezetett, amely biztosította, hogy az áldozat postafiókjának tartalmát a támadó e-mail címére irányítsák át. Mindkét esetben a (kompromittált) „mail.zhblz[.]com” (203.161.50[.]145) szervert használták irányítási infrastruktúraként. Az említett incidens vizsgálata során több mint 10 kormányzati szervezet kompromittált e-mail fiókját azonosították, amelyek tartalmát a támadók megszerezték, és amelyeket például exploitokat tartalmazó e-mailek küldésére használtak, többek között a világ más országainak védelmi minisztériumai számára is.
