17.12.2022 от Центра инноваций и развития оборонных технологий Министерства обороны Украины получена информация о распространении средствами электронной почты (с использованием скомпрометированного электронного адреса одного из сотрудников оборонного ведомства), а также, мессенджеров, сообщения о необходимости обновления сертификатов в системе "DELTA". При этом, вложения в виде PDF-документов имитируют легитимные дайджесты подразделения ISTAR ОУВ "Запорожье", но содержат ссылки на вредоносный ZIP-архив.
В случае перехода по ссылке на компьютер будет загружен архив "certificates_rootca.zip", содержащий исполняемый файл "certificates_rootCA.exe", защищенный с помощью VMProtect (файл скомпилирован и подписан цифровой подписью 15.12.2022).
После запуска EXE-файла на ЭВМ будет создано несколько DLL-файлов, также защищенных VMProtect, и файл "ais.exe", имитирующий процесс установки сертификата. В дальнейшем, на компьютере жертвы будет осуществлен запуск двух вредоносных программ: FateGrab ("FileInfo.dll"; "ftp_file_graber.dll"), функционал которого предусматривает похищение файлов с расширениями: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '. eml', '.msg', '.email' с их последующей эксфильтрацией с помощью FTP, и StealDeal ("procsys. dll"; "StealDll.dll"), предназначенный, среди прочего, для похищения данных Интернет-браузеров.
Indicators of Compromise
IPv4
- 46.249.49.109
Domains
- delta.mil.gov.ua.delta-storages.com
- delta-storages.com
- hexactor.com
URLs
- ftp://46.249.49.109
- https://46.249.49.109:4444
- https://delta.mil.gov.ua.delta-storages.com/certificates/update
- https://delta.mil.gov.ua.delta-storages.com/certificates/windows/certificates_rootca.zip
- https://hexactor.com:4444
MD5
- 13942c7497a15176b39cac1ac7aa79df
- 3ddcd818f1e39467214c5b7153e2a3a0
- 46cf25a8f1c22910cbc74a4b808fb926
- 4ca23d887f85206d926c1caab0b7ddb3
- 4e43623f2e9a31e39b62bc002b2223e9
- 6f3ca264e301ea5b68a61ffe2051e946
- 8a54222486372f92323b9e4279e9e9c2
- 900d06af063b2cda241d04da62fa1662
- d42e12a973be47c6ddd0b4a7c3a36536
- ef802adb77dd0d0b8277994e720db2ca
SHA256
- 03645ad472c8cce66b6089fb8f98bcd9027ca8ab2e01d404af09276efb84703f
- 14765706b2de10b6f9a90268c7690222d2ea5155c9fa24317b86e6c0231d913e
- 1c722ba09cdfb91fa6420b09f47aa15aaf7346d30f3974940d3bc73cdc84783f
- 5d3cf96ee5e42e8f3d6548dd4fcf804ef5d5844220157ae9242cadf60a3afbac
- 60a7f038cad5086b85f0be169f478a6b06f59785c2138fc64c8fdce88f049968
- 6330248e2933a7ebdc873d05d7775f039a55b794eebdda78ca0902b110a54c31
- 6850e8c4d3d774dfac1c5e09df3a9acc6d97b7afb66c8417ad80b5632f9e936d
- a1a8e73ff09d5b55a6156e68c56b5cbf80cc4b9957f02e6c52136654956e334d
- eadb75944134da5434174981bf295eed40d9b2404df8e6dbf12962b2e5075fa3
- f671f9c7b8d6b2553db8c563d269aa52d573857f34d58b7a9539e9d8aea9f3d5