Кибератака, направленная на нарушение целостности и доступности государственных информационных ресурсов Украины

security IOC

CERT-UA по факту нарушения целостности и доступности веб-ресурсов ряда государственных организаций 23.02.2023 принимаются меры по исследованию обстоятельств инцидента.

По состоянию на 11:00 23.02.2023 на одном из вебсайтов обнаружен ранее известный шифрованный веб-шел, а также, подтвержден факт его использования в период с 22:00 22.02.2023 по 05:30 23.02.2023, в результате чего, среди прочего, в корневом веб-каталоге создан файл "index.php", который обеспечивал модификацию содержимого главной страницы веб-ресурса. Взаимодействие с веб-шелом осуществлялось с IP-адресов, которые, в т.ч., принадлежат граничным устройствам других пострадавших организаций. Указанное стало возможным в результате компрометации учетных записей и дальнейшего подключения к VPN-концентраторам соответствующих организаций.

Кроме того, идентифицирован ранее известный SSH-бэкдор CredPump (PAM-модуль), который обеспечивает скрытый удаленный SSH-доступ (со статическим значением пароля) и логирование логинов и паролей при подключении с помощью SSH.

Также, обнаружено бэкдоры HoaxPen и HoaxApe (в виде модуля для веб-сервера Apache), которые обеспечивают возможность выполнения команд и были установлены в феврале 2022 года.

Согласно временным атрибутам, вебшел создан не позднее 23.12.2021; при этом, для загрузки PHP-бэкдора использован штатный функционал веб-сайта (проверка типа загружаемых файлов не имплементирована).

Следует добавить, что на ранних этапах кибератаки применены GOST (Go Simple Tunnel) и программа Ngrok (в частности, для публикации в Интернет сокета HoaxPen).

По совокупности признаков нарушение штатного режима функционирования исследованных веб-ресурсов осуществлено группой UAC-0056 (DEV-0586, unc2589).

Очевидно, что предпосылки для несанкционированного удаленного доступа созданы заранее.

Indicators of Compromise

IPv4

  • 178.162.212.26
  • 178.162.222.44
  • 185.59.221.226
  • 37.58.60.153
  • 94.46.175.132

URI

  • /info_index_test_tst.html

MD5

  • 00a1e595acb40b42bb7df3135d083d77
  • 0dfb7f25df748957a15448214bac3128
  • 167fe17438fdf87d2931c1128e07fac7
  • 2cc1100de4a9fdee79a9eaa633eeba2e
  • 38073229b776c472978061d794bed23c
  • 5967e1c4c213c8a512702917c41d9ece
  • 62063ffe877788f9863d9166b3915934
  • 6c4d220fc8368e6e6ccee21b45220dd2
  • a84a4443395eb9c20e59ac6491aedfe4
  • d8ea9402b705c60e288da43d92000286
  • ea9e36ce72b0faddb784eb9e41c5f3af
  • f102730f7ba20c30c9e077f8e1cc0c8b

SHA256

  • 04a74594c9227aab6b6a39b7dc4ec1425c1799ccc808018c818212f23ec1d1c2
  • 0d23760aec123361203bc005e7af96fdd088600dffd60a78cab7926c35865043
  • 218d267cd1195334718bafac14bfdf1c19dc95dcf8a24aaa6a1383c21dc86e76
  • 27181445200888cafee90404ff88fb33aab7293c36d093520c93f81b2aa6d411
  • 2f6d941d421987daa37fbf3c726d875c9e3ef1c2e26bbf452223d64c0d2b2adb
  • 5434f730594d29b933087dcaf1ae680bee7077abd021c004f28287deccfe49b5
  • 7fedaf0dec060e40cbdf4ec6d0fbfc427593ad5503ad0abaf6b943405863c897
  • 966ee6871f1cf6fd13630098eb9cdbc3b29cb4ed165ecaa6d9178c43a8240cd8
  • 9f6822a8b795bb92e6dff52ce7ae7166d93946c1a1b78f95b2aed226fafb5a13
  • a4f3900e714060096a006fb518625e762f09704d9096d774559511d032a7c20e
  • b781caf4eea34b68daede0540294e665f094c36ac3477d4123ad5ee321365ead
  • f9fa43f3d6650e641be541eed0900ee6ecd031823acb188e55f5a6fcb822db77
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий