Winter Vivern APT IOCs

security IOC

CERT-UA обнаружена веб-страница, имитирующая официальный веб-ресурс Министерства иностранных дел Украины, на которой предлагается загрузить программное обеспечение для "выявления зараженных компьютеров".

В случае перехода по ссылке на ЭВМ будет загружен BAT-файл "Protector.bat", открытие которого приведет к загрузке и запуску на компьютере PowerShell-скриптов, один из которых обеспечит рекурсивный поиск файлов с расширениями: . edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx, .rdg в каталоге рабочего стола, создание снимков экрана и дальнейшую эксфильтрацию данных с помощью HTTP. При этом, предусмотрено создание запланированных задач, предназначенных для обеспечения персистентности.

В рамках сотрудничества с CERT Polska и CSIRT MON (Республика Польша) выявлены аналогичные фишинговые ресурсы, имитирующие официальные веб-страницы МИД Украины, СБ Украины, а также Полиции Польши. Следует заметить, что в июне 2022 года подобная фишинговая веб-страница имитировала веб-интерфейс почтового сервера МО Украины.

Упомянутая активность отслеживается по идентификатору UAC-0114 (также известна как Winter Vivern).

Следует заметить, что тактики, техники и процедуры, используемые группой, довольно типичны: однообразные PowerShell-скрипты, тема "сканеров вредоносных программ". Кроме того, высока вероятность, что в состав группы входят русскоязычные участники, ведь одна из используемых вредоносных программ APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) содержит довольно характерную строку (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb".

Indicators of Compromise

IPv4

  • 176.97.66.57
  • 195.54.170.26
  • 45.136.198.141
  • 80.79.119.239

Domains

  • bugiplaysec.com
  • ocspdep.com
  • troadsecow.com

URLs

  • http://troadsecow.com/policja.gov.pl
  • https://bugiplaysec.com/fjasmngptwq214.php
  • https://bugiplaysec.com/ssu.gov.ua/
  • https://ocspdep.com/ssu.gov.ua/
  • https://troadsecow.com/
  • https://troadsecow.com/76bja21412/c6bd801d882333fdb93dd17308b3e2de3a78cc05_.php
  • https://troadsecow.com/76bja21412/c6bd801d882333fdb93dd17308b3e2de3a78cc05_1.php
  • https://troadsecow.com/cbzc.policja.gov.pl
  • https://troadsecow.com/fjasmngptwq95824s.php
  • https://troadsecow.com/gkaslnwqpasg/fx64g15g.xml
  • https://troadsecow.com/lg5362s5215098-xvbxzcnsaf4lmsa.php
  • https://troadsecow.com/mfa.gov.ua/
  • https://troadsecow.com/mfa.gov.ua/downloadapp.php

MD5

  • 42b6b2533135574ac8a2027df465b295
  • 4d549fa15eadeefd30f5269a2b3995c4
  • 4d6eac0b0dd1adc47d81b163d03e5f4b
  • 6fe2a60e3f4c15c60128562d006696b6
  • 7ffb80d87ab0fe5e2c7f7338ec22a7b0
  • 93beb3454664314826a843ae28befe96
  • 9997462826c26ab82a29e1c0712bbbb5
  • a03cb9a28fa5ce72354e1556731a68d4
  • ed7bb4cc6dd1079efbe4bc3ceffd4250

SHA256

  • 05457a790782542d3f16c9b8368a077b458ff7349856e6da541223a51e94b9c8
  • 2708b9f8a196c50c8c6d6001af5b02e3c5d113e1977a686319eae7652ecbc1d3
  • 3442724f36fcaa1822bdafc3417e6bc7488898c4acbc73f0114ffeb6a3604164
  • 521c8345351144437033b41dfb5e4878c3b3a7ade4e2d0ccdcc5699d0b4d3ac6
  • 72028cff34d33e26bf01e4bf63c8b977ece33b3809bd6dd075bcff343895dc4b
  • 91e9325dd4972c0d40becfff6e65399c46aeb210a3b9a1f75d453cc8fe87d09c
  • b10bc0bb30b3c1d0c404d3a902ccebc425f23cb5a66c02104739f226c77b5816
  • cf919033a2a4f76a4b78499be027090a0a7980a2f536df53eebb2140478abeb7
  • d8236c841b07c933d4de0ef9ed854902f6aae73b83137d9ffbe29fb879aa094f
SEC-1275-1
Добавить комментарий