Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA виявила факт розсилання протягом 15-25 грудня групою APT28 електронних листів з посиланнями на «документи», відвідування яких призводило до зараження комп’ютера шкідливими програмами. Об’єктом атаки, окрім користувачів з України, стали організації з Польщі.

В процесі дослідження інцидентів з'ясовано, що згадані посилання забезпечують перенаправлення жертви на вебресурс, на якому за допомогою JavaScript та особливостей прикладного протоколу "search" ("ms-search") здійснюється завантаження файлу-ярлика, відкриття якого призводить до запуску PowerShell-команди, призначеної для завантаження з віддаленого (SMB) ресурсу та запуску (відкриття) документу-приманки, а також інтерпретатора мови програмування Python і файлу Client.py, що класифіковано як MASEPIE.

З використанням MASEPIE на комп'ютер довантажується та запускається OPENSSH (для побудови тонелю), PowerShell-сценарцій STEELHOOK (викрадення даних Інтернет-браузерів Chrome/Edge), а також бекдор OCEANMAP. Крім того, протягом години з моменту первинної компрометації на комп'ютері створюються IMPACKET, SMBEXEC та ін., за допомогою яких здійснюється розвідка мережі та спроби подальшого горизонтального переміщення.

У CERT-UA відзначають, що за сукупністю тактик, технік, процедур та інструментарію активність асоційовано з діяльністю угрупування APT28. Зловмисний задум також передбачає вжиття заходів з розвитку кібератаки на всю інформаційно-комунікаційну систему організації. Таким чином, компрометація будь-якого комп’ютера може створити загрозу для всієї мережі.

Фахівці урядової команди реагування вкотре нагадують, що безпека усієї організації залежить від кожного працівника. Тому важливо впроваджувати серед співробітників культуру кібергігієни. Використовувати надійні паролі, багатофакторну автентифікацію, не переходити за будь-якими підозрілими посиланнями, не користуватися зламаними програмами або російським софтом – необхідний мінімум.