Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено файл “Доповідь_050722_4.ppt”, що містить зображення-мініатюру, на якій згадується оперативне командування “Південь”.
У випадку відкриття документу та активації макросу останній забезпечить створення файлів “gksg023ig.lnk” та “sgegkseg23mjl.exe”, а також виконання LNK-файлу за допомогою rundll32.exe, що, в свою чергу, призведе до запуску згаданого EXE-файлу.
Виконуваний файл є .NET-програмою, обфускованою за допомогою ConfuserEx, що здійснює завантаження JPEG-файлу “thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg”, пошук відповідного офсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми MCMDiction.exe (дата компіляції: 2022-07-08).
Надалі, після ряду перетворень (Gzip, AES, base64, XOR), в тому числі, із застосуваннями стеганографії, на комп’ютері буде виконано шкідливу програму-стілер AgentTesla (дата компіляції: 2022-07-06).
Зважаючи на ім’я та контент-приманку PPT-документу, припускаємо, що атаку було спрямовано на державні організації України.
