В телеграмм-канале "CyberArmyofRussia_Reborn" 17.01.2023 около 12:39 опубликована информация о нарушении штатного режима функционирования нескольких элементов информационно-коммуникационной системы (далее - ИКС) Украинского национального информационного агентства "Укринформ". CERT-UA 17.01.2023 инициированы меры по исследованию кибератаки.
По состоянию на 27.01.2023 выявлено 5 образцов вредоносных программ (скриптов), функционал которых направлен на нарушение целостности и доступности информации (запись файлов/дисков нулевыми байтами/добровольными данными и их дальнейшее удаление), а именно:
- CaddyWiper (Windows)
- ZeroWipe (Windows)
- SDelete (Windows)
- AwfulShred (Linux)
- BidSwipe (FreeBSD)
Выяснено, что злоумышленниками осуществлена неудачная попытка нарушения штатного режима работы компьютеров пользователей с использованием вредоносных программ-деструкторов CaddyWiper и ZeroWipe, а также легитимной утилиты SDelete (запуск которой предполагалось осуществить с помощью "news.bat"). При этом, с целью централизованного распространения вредоносных программ, создан объект групповой политики (GPO), который, в свою очередь, обеспечивал создание соответствующих запланированных задач.
Существуют основания полагать, что этап разведки ИКС Украинского национального информационного агентства "Укринформ" проведен не позднее 07.12.2022. Установлено, что завершающая стадия кибератаки инициирована 17.01.2023, однако, она имела лишь частичный успех, в частности, в отношении нескольких систем хранения данных.
Indicators of Compromise
IPv4
- 185.220.101.185
- 185.220.102.244
- 185.220.102.245
- 185.220.102.248
- 185.220.102.250
- 185.220.102.251
- 194.28.172.172
- 194.28.172.81
- 45.154.98.225
- 77.91.123.136
- 80.67.167.81
MD5
- 3a1070b882d6843fcfa9490c24700bd1
- 4a5863d34fc99e91af11dd7976c36c27
- 54e5773071b193e109cbacc82565c6a9
- 6aa899b47596323da573fb218f3a8266
- 803df907d936e08fbbd06020c411be93
- cc213200daf4202e2454dc2c363db04f
SHA256
- 00782ccd65a1e03e3e74ce1e59e752926e0a050818fa195bd7e5a5b359500758
- 246607235d560e90590dcf1b0507ab18de74afcc4429d8d5f3ba97eacc92d73f
- 301b248a8291df6c7f3565a3dac17ee69609f36ef474b4f20eebe134746a9cac
- 66548ba6ca6d34b7d17e42ab2e1405db1c581a516e0b1a4942d373d6d5396ba4
- e3bc3689f01fd431cd2ed368ae91eceaa7c465c2781fa7b7dc2ec9143a404f79
- e8eaa39e2adfd49ab69d7bb8504ccb82a902c8b48fbc256472f36f41775e594c