Хакеры атаковали организации, помогающие пострадавшим от войны в Украине

Александр Гайдамашко

Основные тезисы

Хакеры атаковали украинские государственные учреждения и международные гуманитарные организации, используя фишинговые письма.
Атака включала использование фейковой CAPTCHA для установки трояна удаленного доступа,, который позволял злоумышленникам похищать данные и выполнять команды на компьютерах жертв.

Кибератака против Украины – хакеры используют фейковую капчу для взлома

Новая кибератака против Украины и ее партнеров / Коллаж 24 Канала

Украинские государственные учреждения и международные гуманитарные организации стали целью новой кибератаки. Злоумышленники прибегли к весьма хитрой схеме, которая маскировалась под стандартную проверку безопасности, чтобы заставить пользователей самостоятельно устанавливать вредоносное программное обеспечение. Кампания, длившаяся всего один день, оказалась хорошо спланированной.

Как работала новая атака?

Атака, состоявшаяся 8 октября, получила название PhantomCaptcha. Она была кратковременной, но интенсивной. Исследователи из компании SentinelLABS отмечают, что злоумышленники потратили значительное время на подготовку инфраструктуры, ведь некоторые домены для этой операции были зарегистрированы еще в конце марта. Целью стали члены украинских региональных администраций и организации, оказывающие помощь пострадавшим от войны, в частности Международный комитет Красного Креста и UNICEF, пишет 24 Канал.

Все начиналось с рассылки фишинговых электронных писем, замаскированных под официальные сообщения от Офиса Президента Украины. Эти письма содержали вредоносные PDF-файлы со ссылкой на домен, имитирующий платформу для видеоконференций Zoom. Когда потенциальная жертва переходила по ссылке, на экране появлялся процесс автоматической проверки браузера, после чего должен был состояться переход к конференции.

Фишинговое электронное письмо / Фото SentinelLABS

На этом этапе для пользователя генерировался уникальный идентификатор,, который отправлялся на сервер преступников. Если идентификатор совпадал с тем, что был в базе хакеров, браузер перенаправлял человека на настоящую, защищенную паролем Zoom-конференцию. Исследователи предполагают, что в таком случае злоумышленники могли в реальном времени применять методы социальной инженерии, общаясь с жертвой напрямую.

Однако если идентификатор не совпадал, пользователю предлагали пройти дополнительную проверку безопасности, чтобы доказать, что он не робот. Это была фейковая CAPTCHA-панель. Инструкции на украинском языке предлагали скопировать "токен" и вставить его в командную строку Windows. На самом деле этот "токен" был замаскированной командой PowerShell, которая после выполнения загружала и запускала вредоносный скрипт. Этот скрипт собирал системные данные: имя компьютера, информацию о домене, имя пользователя, идентификатор процесса и UUID системы, отправляя все на командный сервер хакеров.

Инструкции для запуска токена / Фото SentinelLABS

Конечной целью атаки была установка облегченного трояна удаленного доступа (RAT) на базе WebSocket. Это шпионское программное обеспечение позволяло злоумышленникам удаленно выполнять команды на компьютере жертвы и похищать данные.

Хотя SentinelLABS не делает прямого заявления о том, кто стоит за атакой, исследователи указывают, что троян размещался на российской инфраструктуре, пишет Bleeping Computer. Кроме того, эту кампанию связывают с последующей операцией, направленной на пользователей во Львове, где пользователям распространяли шпионские приложения для Android под видом контента для взрослых или инструментов облачного хранилища. Эти программы действуют как шпионы, отслеживая местонахождение жертвы в режиме реального времени, журналы вызовов, список контактов и изображения, передавая их злоумышленникам.

Похожие методы атак с использованием фейковых CAPTCHA ранее фиксировала и группа анализа угроз Google (GTIG). Как мы писали ранее, эксперты приписывают такие атаки группировке ColdRiver (также известной как Star Blizzard), которую связывают с российской ФСБ.