Um novo ataque cibernético sofisticado foi observado, tendo como alvo dispositivos localizados na Ucrânia, com o objetivo de implantar o Cobalt Strike e tomar o controle dos hosts comprometidos. De acordo com o Fortinet, a cadeia de ataque envolve um arquivo Microsoft Excel que contém uma macro VBA embutida para iniciar a infecção.

Ao usar uma estratégia de malware em várias etapas, o atacante entrega o famoso payload ‘Cobalt Strike’ e estabelece comunicação com um servidor de comando e controle (C2). Este ataque emprega várias técnicas de evasão para garantir a entrega bem-sucedida do payload. O Cobalt Strike, é uma ferramenta legítima de simulação de adversários usada para operações de red team.

No entanto, ao longo dos anos, versões crackeadas do software têm sido extensivamente exploradas por atores maliciosos para fins criminosos. Uma vez que as macros são habilitadas, o documento supostamente mostra conteúdo relacionado ao montante de fundos alocados às unidades militares, enquanto, em segundo plano, a macro codificada em HEX implanta um downloader baseado em DLL através da utilidade do servidor de registros (regsvr32).