Post #4675

Ниндзя CERT-UA зафиксировал атаки UAC-0245 на украинских офицеров через Signal. Целями хакеров стали члены Союза украинских офицеров, которые используют Signal именно из-за его репутации безопасного канала связи. Они рассылали ZIP-архивы под видом документов о задержаниях на границе. Внутри архива лежал XLL-файл, который при открытии в Excel разворачивал целую инфраструктуру. Дроппер размещал исполняемый файл в автозагрузку, загрузчик в XLSTART, а PNG-файл содержал зашифрованный шелл-код. Бэкдор, написанный на C, поддерживает сбор информации, выполнение команд, перехват скриншотов и передачу файлов. Связь идёт через TCP после последовательного стука в четыре порта. Данные сжимаются MSZIP и фрагментируются при превышении 65 КБ. Все компоненты малвари напичканы проверками на запуск в песочнице. Он проверяет отсутствия wine_get_unix_file_name, ищет артефакты гипервизоров в BIOS, и даже замеряет времени выполнения CPUID через RDTSC, потому что в песочнице, как правило, эти операции выполняются дольше. Поймать шпиона в лабораторных условиях почти невозможно. НеКасперский