Своей целью хакеры поставили извлечение конфиденциальных переписок и документов жертв.
Как недавно выяснили исследователи, хакерская группировка Turla, использует новый .NET-бэкдор под названием DeliveryCheck (также известный как CAPIBAR или GAMEDAY) для атак на государственные структуры Украины.
По данным Microsoft, полученным в сотрудничестве с CERT-UA, DeliveryCheck распространяется через фишинговые письма с вредоносными макросами. После успешного заражения бэкдор устанавливает постоянное присутствие в системе при помощи задачи планировщика и связывается с C2-сервером для получения дальнейших инструкций по скачиванию произвольных полезных нагрузок.
В некоторых случаях заражение также сопровождается установкой известного импланта Turla под названием Kazuar для кражи конфигурационных файлов приложений, журналов событий и различных данных из веб-браузеров.
Конечная цель атак — получить доступ к переписке в приложении Signal для Windows, позволяя злоумышленникам извлекать конфиденциальные разговоры, документы и изображения из взломанных систем.
Отличительной особенностью DeliveryCheck является способность проникать в серверы Microsoft Exchange для установки серверной составляющей с использованием Desired State Configuration (DSC) — платформы управления PowerShell для автоматизации настройки систем Windows.
«DSC генерирует файл в формате Managed Object Format (MOF), содержащий PowerShell-скрипт, который загружает встроенную .NET-полезную нагрузку в память, фактически превращая законный сервер в центр управления вредоносным ПО», — пояснили в Microsoft.
Как не сложно догадаться, в проведении данной вредоносной кампании зарубежные специалисты обвиняют российские хакерские силы, да ещё и финансируемые государством. Тем не менее, правительство РФ неоднократно отрицало свою причастность к каким-либо кибератакам и любому рода вмешательства в функционирование учреждений других государств.