Компания Mandiant выявила операцию, направленную на украинское правительство через троянские программы установки операционной системы Windows 10. Они распространялись через торрент-сайты в рамках атаки по цепочке поставок.
Угроза, отслеживаемая как UNC4166, вероятно, троянизировала и распространяла вредоносные программы установки операционной системы Windows, которые сбрасывают вредоносное ПО, осуществляющее разведку и развертывающее дополнительные возможности на некоторых жертвах для кражи данных.
Троянизированные файлы используют украинский языковой пакет и предназначены для украинских пользователей. После компрометации в качестве целей для последующих действий были выбраны несколько украинских правительственных организаций.
На данный момент у Mandiant нет достаточной информации, чтобы отнести UNC4166 к спонсору или ранее отслеживаемой группе. Однако цели UNC4166 пересекаются с организациями.
Компания Mandiant обнаружила социально сконструированную цепочку поставок, ориентированную на украинские государственные структуры, которые использовали троянские ISO-файлы, маскирующиеся под легитимные программы установки операционной системы Windows 10. Троянские ISO-файлы размещались на украиноязычных и русскоязычных сайтах обмена торрент-файлами. После установки скомпрометированного программного обеспечения вредоносная программа собирала информацию о скомпрометированной системе и выводила ее. На некоторых жертвах устанавливаются дополнительные инструменты для дальнейшего сбора информации. В некоторых случаях мы обнаружили дополнительные полезные нагрузки, которые, вероятно, были развернуты после первоначальной разведки, включая бэкдоры STOWAWAY, BEACON и SPAREPART.
- Один троянизированный ISO "Win10_21H2_Ukrainian_x64.iso" (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4) использует украинский языковой пакет и может быть загружен с сайта "https://toloka[.]to/t657016#1873175". Сайт Toloka ориентирован на украинскую аудиторию, и образ использует украинский язык.
- Тот же ISO был замечен размещен на российском торрент-трекере (https://rutracker[.]net/forum/viewtopic.php?t=6271208) с использованием того же образа.
ISO содержал вредоносные запланированные задачи, которые были изменены и идентифицированы на нескольких системах в трех различных украинских организациях, маячащих на доменах .onion TOR, начиная с середины июля 2022 года.
Компания Mandiant отслеживает этот кластер угроз как UNC4166. Mandiant считает, что операция была направлена на украинские организации из-за используемого языкового пакета и веб-сайта, используемого для его распространения. Использование троянизированных ISO является новинкой в операциях шпионажа, а включенные возможности защиты от обнаружения указывают на то, что субъекты, стоящие за этой деятельностью, заботятся о безопасности и терпеливы, поскольку операция потребовала бы значительного времени и ресурсов на разработку и ожидание установки ISO в интересующей сети.
Mandiant не обнаружила связей с ранее отслеженной активностью, но считает, что субъект, стоящий за этой операцией, имеет цель украсть информацию у украинского правительства.
- Среди организаций, где UNC4166 осуществлял последующее взаимодействие, были организации, которые исторически были жертвами разрушительных атак wiper, которые мы связываем с APT28 с момента начала вторжения.
- Этот ISO был первоначально размещен на украинском торрент-трекере toloka.to под учетной записью "Isomaker", которая была создана 11 мая 2022 года.
- ISO был настроен на отключение типичной телеметрии безопасности, которую компьютер с Windows отправляет в Microsoft, и блокировку автоматических обновлений и проверки лицензии.
- Не было никаких признаков финансовой мотивации вторжений, будь то кража монетизируемой информации или развертывание программ-вымогателей или криптомайнеров.
Indicators of Compromise
IPv4 Port Combinations
- 91.205.230.66:8443
- 193.142.30.166:443
URls
- https://cdnworld.org/34192–general-feedback/suggestions/35703616-cdn–
- https://cdnworld.org/34702–general/sync/42823419-cdn
Domains
- 56nk4qmwxcdd72yiaro7bxixvgf5awgmmzpodub7phmfsqylezu2tsid.onion.moe
- ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion.moe
- ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion.ws
MD5
- 0f06afbb4a2a389e82de6214590b312b
- 1433dd88edfc9e4b25df370c0d8612cf
- 16b21091e5c541d3a92fb697e4512c6d
- 59a3129b73ba4756582ab67939a2fe3c
- a8e7d8ec0f450037441ee43f593ffc7c
- ed7ab9c74aad08b938b320765b5c380d