Злоумышленники получили доступ к сети украинского предприятия коммунального обслуживания после того, как один из сотрудников через торрент установил на рабочий компьютер нелицензированный Microsoft Office 2019.
Узнав о происшествии, украинская Группа быстрого реагирования на киберинциденты (CERT-UA) провела экспертизу и выяснила, что первичная компрометация систем произошла полтора месяца назад, в январе.
Точкой входа взломщикам послужил пиратский софт, скачанный с торрент-сайта Toloka (этот источник и ранее использовался в целевых атаках).
Кроме копии Microsoft Office, установленный ISO-файл содержал RAT-трояна DarkCrystal — коммерческий продукт, который после запуска прописывается в системе на автозапуск и плодит свои копии, до 20 экземпляров. С его помощью авторы атаки загрузили Python-интерпретатор, инструмент удаленного администрирования DWService и файл Windows Update.exe.
Последний Microsoft Defender детектирует с вердиктом Trojan:Win32/PinkyAgent.A!dha. В данном случае вредонос использовался для запуска клиента DWService.
Это не первый случай в практике CERT-UA, когда пиратская копия софта служит вектором первичной компрометации. Специалисты уже сталкивались с заражениями вследствие загрузки ОС, сканеров, инструментов восстановления паролей из неофициальных источников. Такая инфекция грозит серьезными последствиями, если жертва — сисадмин или привилегированный пользователь доменных служб Active Directory.
