FortiGuard Labs, hotintelligens- och forskningsorganisationen på Fortinet, har nyligen identifierat en sofistikerad cyberattack som involverar den ökända trojanen Cobalt Strike, och som riktas mot Windows-system tillhörande användare i Ukraina.
Attackens struktur
Den senaste cyberattacken använder en listig metod för att lura mottagare att ladda ner en Excel-fil, som innehåller ett VBA-makro utformat för att distribuera en skadlig DLL-fil. Angriparna har utformat en flerstegsstrategi med målet att leverera Cobalt Strike och upprätta en kommunikationskanal med en extern kommando- och kontrollserver.
– En av de första sakerna som DLL-filen gör är att skanna efter antivirus. Om den upptäcker närvaron av en sådan, avslutar den omedelbart ytterligare aktivitet. Om inte skickar den en webbförfrågan för att iscensätta nästa steg i kedjan, skriver FortiGuard Labs i sin analys.
Platsbaserade kontroller
DLL-filen är specifikt designad för att bara ladda ner den andra stegets nyttolast på enheter i Ukraina. Därifrån utför nedladdningsprogrammet flera steg som resulterar i att Cobalt Strike installeras på offrets enhet. Genom att använda platsbaserade kontroller försöker angriparna undvika upptäckt.
Självraderingsfunktioner och tidigare attacker
Attacken inkluderar även självraderingsfunktioner för att ytterligare försvåra upptäckt och analys. Detta är inte första gången Cobalt Strike används mot ukrainska mål. FortiGuard Labs observerade liknande attacker 2022 där ett Excel-dokument användes för att leverera Cobalt Strike mot system i Ukraina. Förra året avslöjade Ukrainas Computer Emergency Response Team (CERT-UA) att gruppen UAC-0057 använde en skadlig XLS-fil för att utföra en liknande attack.
Fortsatta hot och förebyggande åtgärder
Den här typen av sofistikerade cyberattacker understryker vikten av starka säkerhetsåtgärder och vaksamhet mot misstänkta filer och e-postmeddelanden. Organisationer och individer uppmanas att hålla sina system uppdaterade och använda pålitliga säkerhetslösningar för att skydda sig mot dessa hot.
För mer information om denna attack och detaljerad analys, besök Fortinets blogg.
