FortiGuard Labs, hotintelligens- och forskningsorganisationen på Fortinet, har nyligen identifierat en sofistikerad cyberattack som involverar den ökända trojanen Cobalt Strike, och som riktas mot Windows-system tillhörande användare i Ukraina.
Attackkedjan bygger på att mottagen luras att ladda ned en Excel-fil, som i sin tur kommer inbäddad med ett VBA-makro utformat för att distribuera en skadlig DLL-fil.
I kampanjen använder nätkriminella en strategi i flera steg, med slutmålet att leverera den ökända Cobalt Strike och upprätta kommunikation med en extern kommando- och kontrollserver.
En av de första sakerna som DLL-filen gör är att skanna efter antivirus. Om den upptäcker närvaron av en sådan, avslutar den omedelbart ytterligare aktivitet. Om inte skickar den en webbförfrågan för att iscensätta nästa steg i kedjan. DLL-filen är utformad så att den bara kan ladda ner det andra stegets nyttolast på enheter som finns specifikt i Ukraina. Därifrån utför sedan nedladdningsprogrammet en serie steg som resulterar i att Cobalt Strike distribueras på offrets enhet.
FortiGuard Labs skriver i sin analys att angriparna genom att implementera denna typ av platsbaserade kontroller försöker undvika upptäckt. Utöver det finns även bland annat självraderingsfunktion och för att ytterligare försvåra upptäckt och analys.
Det är inte är första gången som Cobalt Strike används mot ukrainska mål. Redan 2022 observerade FortiGuard Labs en annan hotaktör som använde ett Excel-dokument för att leverera Cobalt Strike mot system i Ukraina. Förra året avslöjade Ukrainas Computer Emergency Response Team (CERT-UA) att UAC-0057 var inblandad i en attack med hjälp av en skadlig XLS-fil. Även då var Cobalt Strike inblandat.