Оборонный сектор в Украине и Восточной Европе стал мишенью нового бэкдора на основе .NET под названием DeliveryCheck (он же CAPIBAR или GAMEDAY). В этой статье узнаем, кто стоит за взломом, и какой ущерб он нанёс.

Группа разведки угроз Microsoft в сотрудничестве с Украинской группой реагирования на компьютерные чрезвычайные ситуации (CERT-UA) обвинила в атаках российскую хакерскую группировку, известную как Turla, которая также отслеживается под именами Iron Hunter, Secret Blizzard (ранее Krypton), Uroburos, Venomous Bear и Waterbug. Специалисты считают, что группировка связана с Федеральной службой безопасности России (ФСБ).

«DeliveryCheck распространяется по электронной почте в виде документов с вредоносными вирусами», — говорится в серии твитов компании. «Он сохраняется через запланированную задачу, которая загружает и запускает его в памяти компьютера. Он также связывается с сервером C2 для получения задач, которые могут включать запуск произвольных загрузок, встроенных в таблицы стилей XSLT».




Успешный доступ также сопровождается в некоторых случаях распространением известной малвари Turla, получившей название Kazuar. Она оборудована для кражи файлов конфигурации приложений, журналов событий и широкого спектра данных из веб-браузеров.
Конечной целью атак является эксфильтрация (метод взлома, который заключается в извлечении информации из системы или сети, не используя открытый доступ или пароль) сообщений из приложения обмена сообщениями Signal для Windows, что позволяет злоумышленнику получить доступ к конфиденциальным разговорам, документам и изображениям в целевых системах.



Примечательным аспектом DeliveryCheck является его способность взламывать серверы Microsoft Exchange для установки компонента на стороне сервера с помощью PowerShell Desired State Configuration (DSC) — платформы управления PowerShell, которая помогает администраторам автоматизировать настройку систем Windows.
«DSC создает файл Managed Object Format (MOF), содержащий сценарий PowerShell, который загружает встроенную загрузку .NET в память, фактически превращая сервер жертвы в центр управления вредоносными программами», — пояснили в Microsoft.




Раскрытие информации произошло после того, как Киберполиция Украины ликвидировала огромную ферму ботов, на которой более 100 человек якобы распространяли враждебную пропаганду, оправдывающую российскую сво, сливали личную информацию, принадлежащую гражданам Украины, и участвовали в различных мошеннических схемах.
В рамках операции были проведены обыски в 21 офисе, в результате которых изъято компьютерное оборудование, мобильные телефоны, более 250 GSM-шлюзов и около 150 000 SIM-карт, принадлежащих различным операторам мобильной связи.

Иными словами, взлом не был замечен напрямую. О бэкдоре стало известно случайно, неполадок в сети до обыска фермы оборонный сектор Украины не обнаружил. Официальная информация о масштабах бэкдора не разглашается.