Протягом 15-25 грудня фахівці виявили декілька випадків розповсюдження серед державних організацій електронних листів з посиланнями на «документи», відвідування яких призводило до ураження ЕОМ шкідливими програмами.
В процесі дослідження інцидентів з’ясовано, що згадані посилання забезпечують перенаправлення жертви на вебресурс, на якому за допомогою JavaScript та особливостей прикладного протоколу «search» («ms-search») здійснюється завантаження файлу-ярлика, відкриття якого призводить до запуску PowerShell-команди, призначеної для завантаження з віддаленого (SMB) ресурсу та запуску (відкриття) документу-приманки, а також інтерпретатора мови програмування Python і файлу Client.py, що класифіковано як Masepie.
З використанням Masepie на комп’ютер довантажується та запускається Openssh (для побудови тунелю), PowerShell-сценарій Steelhook (викрадення даних інтернет-браузерів Chrome/Edge), а також бекдор Oceanmap. Крім того, протягом години з моменту первинної компрометації на комп’ютері створюються Impacket, Smbexec та ін., за допомогою яких здійснюється розвідка мережі та спроби подальшого горизонтального переміщення.
За сукупністю тактик, технік, процедур та інструментарію активність асоційовано з діяльністю угрупування APT28. При цьому, очевидно, що зловмисний задум також передбачає вжиття заходів з розвитку кібератаки на всю інформаційно-комунікаційну систему організації. Таким чином, компрометація будь-якої ЕОМ може створити загрозу для всієї мережі.
