Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження електронних листів з тематикою військовополонених, що містили посилання для завантаження архіву “spysok_kursk.zip”.

Згаданий архів містить CHM-файл “список вп, що вибувають. курск.chm”, в якому, серед іншого, знаходиться HTML-файл “part.html”, що містить JavaScrip-код, який, у свою чергу, забезпечує запуск обфускованого PowerShell-сценарію.

PowerShell-код призначений для завантаження на ЕОМ компонентів шкідливої програми SPECTR (здійснює викрадення документів, знімків екрану, даних Інтернет-браузерів та ін.) та нової програми FIRMACHAGENT (“chrome_updater.dll”; основним завданням якої є вивантаження викрадених даних на сервер управління), а також створення запланованих задач для запуску оркестратору “IDCLIPNET_x86.dll” (управляє плагінами SPECTR) та FIRMACHAGENT.

Зменшення вірогідності реалізації кіберзагрози досягається шляхом скорочення поверхні атаки за рахунок обмеження прав облікових записів користувачів (їх видаленням з груп “Administrators”/”Адміністратори”) та застосуванням відповідних політик (SRP/AppLocker), які унеможливлюють запуск користувачами як файлів з розширенням .CHM, так й powershell.exe в цілому.

Джерело https://cert.gov.ua/article/6280422