CERT-UA по факту нарушения целостности и доступности веб-ресурсов ряда государственных организаций 23.02.2023 принимаются меры по исследованию обстоятельств инцидента.
По состоянию на 11:00 23.02.2023 на одном из вебсайтов обнаружен ранее известный шифрованный веб-шел, а также, подтвержден факт его использования в период с 22:00 22.02.2023 по 05:30 23.02.2023, в результате чего, среди прочего, в корневом веб-каталоге создан файл "index.php", который обеспечивал модификацию содержимого главной страницы веб-ресурса. Взаимодействие с веб-шелом осуществлялось с IP-адресов, которые, в т.ч., принадлежат граничным устройствам других пострадавших организаций. Указанное стало возможным в результате компрометации учетных записей и дальнейшего подключения к VPN-концентраторам соответствующих организаций.
Кроме того, идентифицирован ранее известный SSH-бэкдор CredPump (PAM-модуль), который обеспечивает скрытый удаленный SSH-доступ (со статическим значением пароля) и логирование логинов и паролей при подключении с помощью SSH.
Также, обнаружено бэкдоры HoaxPen и HoaxApe (в виде модуля для веб-сервера Apache), которые обеспечивают возможность выполнения команд и были установлены в феврале 2022 года.
Согласно временным атрибутам, вебшел создан не позднее 23.12.2021; при этом, для загрузки PHP-бэкдора использован штатный функционал веб-сайта (проверка типа загружаемых файлов не имплементирована).
Следует добавить, что на ранних этапах кибератаки применены GOST (Go Simple Tunnel) и программа Ngrok (в частности, для публикации в Интернет сокета HoaxPen).
По совокупности признаков нарушение штатного режима функционирования исследованных веб-ресурсов осуществлено группой UAC-0056 (DEV-0586, unc2589).
Очевидно, что предпосылки для несанкционированного удаленного доступа созданы заранее.
Indicators of Compromise
IPv4
- 178.162.212.26
- 178.162.222.44
- 185.59.221.226
- 37.58.60.153
- 94.46.175.132
URI
- /info_index_test_tst.html
MD5
- 00a1e595acb40b42bb7df3135d083d77
- 0dfb7f25df748957a15448214bac3128
- 167fe17438fdf87d2931c1128e07fac7
- 2cc1100de4a9fdee79a9eaa633eeba2e
- 38073229b776c472978061d794bed23c
- 5967e1c4c213c8a512702917c41d9ece
- 62063ffe877788f9863d9166b3915934
- 6c4d220fc8368e6e6ccee21b45220dd2
- a84a4443395eb9c20e59ac6491aedfe4
- d8ea9402b705c60e288da43d92000286
- ea9e36ce72b0faddb784eb9e41c5f3af
- f102730f7ba20c30c9e077f8e1cc0c8b
SHA256
- 04a74594c9227aab6b6a39b7dc4ec1425c1799ccc808018c818212f23ec1d1c2
- 0d23760aec123361203bc005e7af96fdd088600dffd60a78cab7926c35865043
- 218d267cd1195334718bafac14bfdf1c19dc95dcf8a24aaa6a1383c21dc86e76
- 27181445200888cafee90404ff88fb33aab7293c36d093520c93f81b2aa6d411
- 2f6d941d421987daa37fbf3c726d875c9e3ef1c2e26bbf452223d64c0d2b2adb
- 5434f730594d29b933087dcaf1ae680bee7077abd021c004f28287deccfe49b5
- 7fedaf0dec060e40cbdf4ec6d0fbfc427593ad5503ad0abaf6b943405863c897
- 966ee6871f1cf6fd13630098eb9cdbc3b29cb4ed165ecaa6d9178c43a8240cd8
- 9f6822a8b795bb92e6dff52ce7ae7166d93946c1a1b78f95b2aed226fafb5a13
- a4f3900e714060096a006fb518625e762f09704d9096d774559511d032a7c20e
- b781caf4eea34b68daede0540294e665f094c36ac3477d4123ad5ee321365ead
- f9fa43f3d6650e641be541eed0900ee6ecd031823acb188e55f5a6fcb822db77