В CERT-UA рассказали о вирусе с логотипом Нацуниверситета обороны. Тем временем имени Черняховского вуз лишили

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.

11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.

Забронировать участие

Как отмечается в сообщениях этих структур, специалисты обнаружили PPT-документ "daewdfq342r.ppt", содержащий макрос и изображение-миниатюру с эмблемой Национального университета обороны имени Ивана Черняховского.

Отмечается, что в случае открытия документа и активации макроса на компьютере жертвы будет создан исполняемый файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а также файл-ярлык, предназначенный для запуска последнего.

Файл "glkgh90kjykjkl650kj0.dll" классифицирован как вредоносное приложение PicassoLoader, типично используемое группой GhostWriter и предназначенное для загрузки изображения, его дешифрования и запуска полученного пэйлоада.

В рассматриваемом инциденте PicassoLoader обеспечивает загрузку и запуск .NET-дропера, осуществящего дешифрование (AES) и запуск исполняемого файла "PhotoMetadataHandler.dll", который, в свою очередь, выполнит дешифрование и запуск Cobalt Strike Beacon на компьютере жертвы.

Персистентность запуска упомянутого DLL-файла обеспечивается либо путем создания запланированной задачи ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), либо за счет создания LNK-файла в папке автозапуска ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").

Как указывают в CERT-UA, даты компиляции программ и создания или модификации указанного PPT-документа свидетельствуют о том, что атака инициирована не позднее 9 июня. Серверы управления вредоносной программой размещены в России, однако доменные имена были "скрыты" через сервис Cloudflare.

В свою очередь, примечательно, что в пятницу же Офис президента опубликовал указ главы государства Владимира Зеленского №335, датированный этим же днем 16 июня, о лишении Национального университета обороны, собственно, имени Ивана Черняховского, которое было ему присвоено в 2013 году указом тогдашнего президента Виктора Януковича.

Как сообщила пресс-служба, президент принял в пятницу участие в торжествах по случаю выпуска слушателей этого университета: в этом году он подготовил 317 выпускников стратегического, оперативно-тактического и тактического уровней подготовки. Десяти выпускникам двух последних уровней Зеленский вручил дипломы с отличием, пяти – нагрудные знаки. Смена же названия вузов в сообщении не комментируется.

Черняховский, напомним, был советским военачальником, командовавшим в 1942-1944 годах 60-й армией на Воронежском фронте, а впоследствии – войсками 3-го Белорусского фронта. Дважды (1943 и 1944) получал звание Героя Советского Союза, а в феврале 1945 погиб на оккупированной советскими войсками территории Восточной Пруссии.

Именем Черняховского, который был уроженцем села Оксанина нынешней Бабанской общины Черкасской области, в частности, были названы и до сих пор называются улицы в ряде городов Украины, в том числе в Киеве и Одессе, хотя в течение прошлого года в ряде городов это название было изменено. Недавно, 1 июня, такое решение было принято и горсоветом Чернигова (улица была названа в честь Филиппа Орлика).

Источник фото: ua.depositphotos.com