Ukrajnai Cobalt Strike kampány
Az ukrán felhasználókat és a kiberinfrastruktúrát sújtja egy új rosszindulatú programkampány, amelyben a hackerek többlépcsős malware-stratégiát alkalmaznak a Cobalt Strike megvalósítására.
A Fortinet FortiGuard Labs felfedezett egy kibertámadást, amely a Microsoft Windows-alapú végpontokat célozta meg Ukrajnában, ahol a támadók egy rosszindulatú Excel-fájlt használnak fel a Cobalt Strike eszköz telepítésére, amelyet a támadás utáni tevékenységekhez használnak.
A támadásban egy látszólag ártalmatlan Excel-fájba rejtenek egy VBA (Visual Basic for Applications) makrót, amely a Microsoft Office alkalmazásokban használt szkriptnyelv. A támadó többlépcsős rosszindulatú stratégiát használ a Cobalt Strike eljuttatására és a C2 szerverrel való kommunikáció létrehozására.
A rosszindulatú Excel dokumentum ukrán nyelvi elemeket tartalmaz, hogy a felhasználók engedélyezzék a makrókat. A makró egy HEX-kódolt DLL letöltőt telepít, amely egy shell parancs segítségével végrehajtja a DLL (Dynamic Link Library) fájlt.