STOWAWAY, BEACON Backdoor IOCs

security IOC

Компания Mandiant выявила операцию, направленную на украинское правительство через троянские программы установки операционной системы Windows 10. Они распространялись через торрент-сайты в рамках атаки по цепочке поставок.


Угроза, отслеживаемая как UNC4166, вероятно, троянизировала и распространяла вредоносные программы установки операционной системы Windows, которые сбрасывают вредоносное ПО, осуществляющее разведку и развертывающее дополнительные возможности на некоторых жертвах для кражи данных.

Троянизированные файлы используют украинский языковой пакет и предназначены для украинских пользователей. После компрометации в качестве целей для последующих действий были выбраны несколько украинских правительственных организаций.

На данный момент у Mandiant нет достаточной информации, чтобы отнести UNC4166 к спонсору или ранее отслеживаемой группе. Однако цели UNC4166 пересекаются с организациями.

Компания Mandiant обнаружила социально сконструированную цепочку поставок, ориентированную на украинские государственные структуры, которые использовали троянские ISO-файлы, маскирующиеся под легитимные программы установки операционной системы Windows 10. Троянские ISO-файлы размещались на украиноязычных и русскоязычных сайтах обмена торрент-файлами. После установки скомпрометированного программного обеспечения вредоносная программа собирала информацию о скомпрометированной системе и выводила ее. На некоторых жертвах устанавливаются дополнительные инструменты для дальнейшего сбора информации. В некоторых случаях мы обнаружили дополнительные полезные нагрузки, которые, вероятно, были развернуты после первоначальной разведки, включая бэкдоры STOWAWAY, BEACON и SPAREPART.

  • Один троянизированный ISO "Win10_21H2_Ukrainian_x64.iso" (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4) использует украинский языковой пакет и может быть загружен с сайта "https://toloka[.]to/t657016#1873175". Сайт Toloka ориентирован на украинскую аудиторию, и образ использует украинский язык.
  • Тот же ISO был замечен размещен на российском торрент-трекере (https://rutracker[.]net/forum/viewtopic.php?t=6271208) с использованием того же образа.
    ISO содержал вредоносные запланированные задачи, которые были изменены и идентифицированы на нескольких системах в трех различных украинских организациях, маячащих на доменах .onion TOR, начиная с середины июля 2022 года.

Компания Mandiant отслеживает этот кластер угроз как UNC4166. Mandiant считает, что операция была направлена на украинские организации из-за используемого языкового пакета и веб-сайта, используемого для его распространения. Использование троянизированных ISO является новинкой в операциях шпионажа, а включенные возможности защиты от обнаружения указывают на то, что субъекты, стоящие за этой деятельностью, заботятся о безопасности и терпеливы, поскольку операция потребовала бы значительного времени и ресурсов на разработку и ожидание установки ISO в интересующей сети.

Mandiant не обнаружила связей с ранее отслеженной активностью, но считает, что субъект, стоящий за этой операцией, имеет цель украсть информацию у украинского правительства.

  • Среди организаций, где UNC4166 осуществлял последующее взаимодействие, были организации, которые исторически были жертвами разрушительных атак wiper, которые мы связываем с APT28 с момента начала вторжения.
  • Этот ISO был первоначально размещен на украинском торрент-трекере toloka.to под учетной записью "Isomaker", которая была создана 11 мая 2022 года.
  • ISO был настроен на отключение типичной телеметрии безопасности, которую компьютер с Windows отправляет в Microsoft, и блокировку автоматических обновлений и проверки лицензии.
  • Не было никаких признаков финансовой мотивации вторжений, будь то кража монетизируемой информации или развертывание программ-вымогателей или криптомайнеров.

Indicators of Compromise

IPv4 Port Combinations

  • 91.205.230.66:8443
  • 193.142.30.166:443

URls

  • https://cdnworld.org/34192–general-feedback/suggestions/35703616-cdn–
  • https://cdnworld.org/34702–general/sync/42823419-cdn

Domains

  • 56nk4qmwxcdd72yiaro7bxixvgf5awgmmzpodub7phmfsqylezu2tsid.onion.moe
  • ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion.moe
  • ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion.ws

MD5

  • 0f06afbb4a2a389e82de6214590b312b
  • 1433dd88edfc9e4b25df370c0d8612cf
  • 16b21091e5c541d3a92fb697e4512c6d
  • 59a3129b73ba4756582ab67939a2fe3c
  • a8e7d8ec0f450037441ee43f593ffc7c
  • ed7ab9c74aad08b938b320765b5c380d
SEC-1275-1
Добавить комментарий