CERT-UA 08.12.2022 от специалистов подразделения кибербезопасности АО "Укрзализныця" получена информация о рассылке электронных писем с темой "Як розпізнати дрон-камікадзе." с адреса "morgunov.a@dsns.com[.]ua", якобы, от имени Государственной службы Украины по чрезвычайным ситуациям. Для этого, среди прочего, 08.11.2022 зарегистрировано соответствующее доменное имя.
Во вложении к письму находится RAR-архив "shahed-136.rar", содержащий PPSX-документ "shahed.ppsx", который, в свою очередь, содержит VBScript-код, предназначенный для создания запланированного задания, а также дешифровки, создания на ЭВМ и запуска PowerShell-скрипта. При этом, криптографическое преобразование данных осуществляется с помощью алгоритма RC4, а в качестве ключа выступает строка, которая является результатом конкатенации значения свойства "Manager" и названия документа ("ТТрігубенко Сергій Георгійович|shahed.ppsx").
Упомянутый PowerShell-скрипт с помощью командлета BitsTransfer (Background Intelligent Transfer Management) осуществит загрузку исполняемых файлов "WibuCm32.dll", "CodeMeter.exe" (легитимная программа), а также создание запланированной задачи для запуска последнего. При этом, будет использована техника DLL Side-Loading.
Файл "WibuCm32.dll" классифицирован как вредоносная программа DolphinCape, которая разработана с использованием языка программирования Delphi и основным функционалом которой является сбор информации об ЭВМ (имя хоста, имя пользователя, разрядность, версия ОС, значение переменных среды), запуск EXE/DLL файлов, отображение списка файлов и их выгрузка, а также создание и эксфильтрация снимков экрана.
Indicators of Compromise
IPv4
- 195.123.237.147
- 202.157.187.190
Domains
- dsns.com.ua
URLs
- http://195.123.237.147/manifests/win/WIBU/Manifest?r=rev1&role=
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stc
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.cda
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.cda
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stk
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stc
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stt
- http://202.157.187.190/cgi-bin/rarcheckcert.cgi/http/20221208011644645.stf
Emails
- morgunov.a@dsns.com.ua
User-Agent
- Mozilla/3.0 (compatible; Indy Library)
MD5
- 142893c48b76b7e9d0f7ce74e16aaf1f
- 241e4285a84be65cf16778462f06b9a8
- 247997c2b4431585f9355d3324410298
- 3444e86aefa7bc2dbce34903f805400d
- 98c3d5347842743bfb4ade50b39226c1
SHA256
- 2c1a2fe3fb418601f3adc9256e1ff2c509178483fdbb0e964f52fb6b30be1129
- 460244cbf353b15b52c69952dd3b2549de79c590c56807bc25d4896dd0016655
- 5137a888271b08f388d863433e5f0f1b129e15d4c812b95c831e93e27ec45bd6
- 6ee62645cd97fb0b41fdf219b9a2a8211324ded110b5c7f09b3d9881abb2a594
- 772654b186ad9fbd0a80f03ceae7d327b45c8944452cc39048160b1f6d8f2672
File Paths
- %LOCALAPPDATA%\Microsoft\msWIBU\
- %LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.dat
- %LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.exe
- %LOCALAPPDATA%\Microsoft\msWIBU\WibuCm32.dll
- %TMP%\mso\SearchEmbdIndex.ps1