Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) λέει ότι Ρώσοι χάκερ στοχεύουν διάφορους κυβερνητικούς φορείς στη χώρα με κακόβουλα email που υποτίθεται ότι περιέχουν οδηγίες για τον τρόπο ενημέρωσης των Windows ως άμυνα έναντι επιθέσεων στον κυβερνοχώρο.
Το CERT-UA πιστεύει ότι η ρωσική κρατική ομάδα hacking APT28 (γνωστή και ως Fancy Bear) έστειλε αυτά τα email και υποδύθηκε τους διαχειριστές συστημάτων των στοχευόμενων κυβερνητικών οντοτήτων για να διευκολύνει την εξαπάτηση των στόχων τους.
Για το σκοπό αυτό, οι εισβολείς δημιούργησαν διευθύνσεις email @outlook.com χρησιμοποιώντας πραγματικά ονόματα υπαλλήλων που αποκτήθηκαν με άγνωστα μέσα στα προπαρασκευαστικά στάδια της επίθεσης.
Αντί για νόμιμες οδηγίες για την αναβάθμιση συστημάτων Windows, τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου συμβουλεύουν τους παραλήπτες να εκτελέσουν μια εντολή PowerShell.
Αυτή η εντολή κατεβάζει μια δέσμη ενεργειών PowerShell στον υπολογιστή, προσομοιώνοντας μια διαδικασία ενημέρωσης των Windows κατά τη λήψη ενός δεύτερου ωφέλιμου φορτίου PowerShell στο παρασκήνιο.
Το ωφέλιμο φορτίο δεύτερου σταδίου είναι ένα βασικό εργαλείο συλλογής πληροφοριών που κάνει κατάχρηση των εντολών «lista task» και «systeminfo» για τη συλλογή δεδομένων και την αποστολή τους σε ένα API υπηρεσίας Mocky μέσω αιτήματος HTTP.
Φαίνεται σαν να είναι μια νόμιμη εφαρμογή που βοηθά τους χρήστες να δημιουργούν προσαρμοσμένες αποκρίσεις HTTP, τις οποίες το APT28 έκανε κατάχρηση σε αυτήν την περίπτωση για εξαγωγή δεδομένων.
Το CERT-UA συνιστά ότι οι διαχειριστές συστήματος περιορίζουν τη δυνατότητα εκκίνησης του PowerShell σε κρίσιμους υπολογιστές και παρακολούθησης της κυκλοφορίας δικτύου για συνδέσεις με το API υπηρεσίας Mocky.
