Группировка Turla атакует украинские властные структуры новым вредоносом DeliveryCheck

Как недавно выяснили исследователи, хакерская группировка Turla, использует новый .NET -бэкдор под названием DeliveryCheck (также известный как CAPIBAR или GAMEDAY) для атак на государственные структуры Украины.

По данным Microsoft , полученным в сотрудничестве с CERT-UA , DeliveryCheck распространяется через фишинговые письма с вредоносными макросами. После успешного заражения бэкдор устанавливает постоянное присутствие в системе при помощи задачи планировщика и связывается с C2-сервером для получения дальнейших инструкций по скачиванию произвольных полезных нагрузок.

В некоторых случаях заражение также сопровождается установкой известного импланта Turla под названием Kazuar для кражи конфигурационных файлов приложений, журналов событий и различных данных из веб-браузеров.

Конечная цель атак — получить доступ к переписке в приложении Signal для Windows , позволяя злоумышленникам извлекать конфиденциальные разговоры, документы и изображения из взломанных систем.

Отличительной особенностью DeliveryCheck является способность проникать в серверы Microsoft Exchange для установки серверной составляющей с использованием Desired State Configuration ( DSC ) — платформы управления PowerShell для автоматизации настройки систем Windows.

«DSC генерирует файл в формате Managed Object Format ( MOF ), содержащий PowerShell-скрипт, который загружает встроенную .NET-полезную нагрузку в память, фактически превращая законный сервер в центр управления вредоносным ПО», — пояснили в Microsoft.

Как не сложно догадаться, в проведении данной вредоносной кампании зарубежные специалисты обвиняют российские хакерские силы, да ещё и финансируемые государством. Тем не менее, правительство РФ неоднократно отрицало свою причастность к каким-либо кибератакам и любому рода вмешательства в функционирование учреждений других государств.