Egy hét éves MS Office sérülékenységet használt ki az Ukrajnát Cobalt Strike-kal támadó hacker kampány.
A Deep Instict Threat Lab kiberbiztonsági szakértői rosszindulatú PPSX fájlt fedeztek fel, amit Ukrajnából a VirusTotalra töltöttek fel 2023 végén. A fájl leírása alapján a Signal applikáción keresztül került megosztásra, de feltehetőleg a valóságban ez nem így történt – kinézetre egy amerikai hadsereg által készített elavult kézikönyvnek tűnik a tankok aknaelhárító pengéiről.
A PPSX egy külső OLE objektumra mutató távoli hivatkozást tartalmaz. A „script:” előtag használatával tudták kihasználni a CVE-2017-8570 sérülékenységet majd ennek köszönhetően a CVE-2017-0199-et. A távoli szkriptet egy CloudFlare által védett oldalon tárolták, de a domain mögött álló valódi tárhelyet egy orosz VPS szolgáltatóként azonosították.
A második lépcsős dropper egy JavaScript kódot tartalmazó HTML fájl és egy Windows cscript.exe program hajtja végre. A szkript beállítja a perzisztenciát, dekódolja, a beágyazott payload-ot pedig egy Cisco AnyConnect VPN fájlként álcázza.
A payload egy dinamikus linkkel rendelkező könyvtárat tartalmaz, amely a Cobalt Strike Beacon (a Cobalt Strike egy feltört verziója) nevű, kihasználás utáni eszközt injektálja a memóriába, majd parancsokat vár a C2 kiszolgálótól. A DLL továbbá különböző funkciókkal rendelkezik a felderítés és analízis elkerülése végett.
A szakértők nem tudták egy fenyegető szereplőhöz sem kötni a támadást. A minta Ukrajnából eredeztethető, a második lépcső orosz VPS címhez köthető, a C&C szerver pedig Varsóban található. A jelentés szerint hadsereghez köthető anyagoknak álcázták a csalikat, így feltételezhető, hogy katonai személyzetet célozta a támadás, a domainnevek viszont művészeti oldalakra mutattak.
A felfedezés napjától kezdve a legtöbb motor által nem volt észlelhető a betöltő, a Deep Instinct szakértői pedig már a 0. napon megakadályozták a betöltését. A jelentésben továbbá helyet kapott az IoC-k listája is.