Урядова команда реагування на комп'ютерні надзвичайні події CERT-UA повідомила про чергову кібератаку з боку рф з метою кібершпигунства. Так, з 2022 року за ідентифікатором UAC-0024 відслідковується активність, що полягає у здійсненні цільових кібератак, спрямованих проти сил оборони з метою шпигунства із застосуванням шкідливої програми CAPIBAR (Microsoft: "DeliveryCheck", Mandiant: "GAMEDAY").
Окрім застосування XSLT (Extensible Stylesheet Language Transformations) та COM-hijacking специфіка CAPIBAR полягає в наявності серверної частини, що, зазвичай, встановлюється на скомпрометованих серверах MS Exchange у вигляді MOF (Managed Object Format) файлу із застосуванням PowerShell-інструменту Desired State Configuration (DCS), фактично перетворюючи легітимний сервер в центр управління шкідливою програмою.
На етапі первинної компрометації, окрім надсилання електронних листів з додатком у вигляді документу з макросом, зловмисники можуть здійснювати модифікацію документів (наприклад, на внутрішньому загальнодоступному мережевому ресурсі), додаючи в структуру легітимного макросу декілька рядків коду, які забезпечать запуск PowerShell.
При цьому, за певних обставин на уражені ЕОМ довантажується складний багатофункціональний бекдор KAZUAR, в якому реалізовано більше 40 функцій, серед яких: "chakra" (запуск JS за допомогою ChakraCore), "eventlog" (отримання даних з журналів ОС), "forensic" (збір артефактів: compatibilityassistant, exploreruserassist, activitiescache, prefetchfiles, muicache), "steal" (викрадення автентифікаційних даних: passwords, bookmarks, autofill, history, proxies, cookies, filezilla, chromium, mozilla, outlook, openvpn, system, winscp, signal, git), "unattend" (викрадення баз даних/конфігураційних файлів програм: KeePass, Azure, Gcloud, AWS, bluemix та інших).
Серед іншого відомі випадки ексфільтрації з інфікованих ЕОМ файлів за визначеним переліком розширень з використанням легітимної програми rclone.
З урахуванням особливостей тактик, технік та процедур, а також факту використанням програми KAZUAR, з достатнім рівнем впевненості описану активність (UAC-0024) асоційовано з угрупуванням Turla (UAC-0003, KRYPTON, Secret Blizzard), діяльність яких скеровується фсб росії.
З метою створення сприятливих умов для детектування загрози, зразки шкідливих програм розповсюджено серед компаній-розробників засобів захисту. CERT-UA висловила подяку команді Microsoft Threat Intelligence (@MsftSecIntel) за сприяння в боротьбі з кіберзагрозами.
