Shuckworm APT IOCs

Shuckworm (он же Gamaredon, Armageddon) - связанная с Россией группировка, которая с момента своего появления в 2014 году почти полностью сосредоточила свои операции на Украине.

Shuckworm APT

Группа Shuckworm продолжает осуществлять многочисленные кибератаки на Украину, причем в последнее время ее объектами стали службы безопасности, военные и правительственные организации.

В некоторых случаях Shuckworm удавалось организовать длительные вторжения, продолжавшиеся до трех месяцев. Злоумышленники неоднократно пытались получить доступ и украсть конфиденциальную информацию, например, сообщения о гибели украинских военнослужащих, о боевых действиях и авиаударах противника, о запасах арсеналов, о военной подготовке и многое другое.

Стремясь опередить обнаружение, Shuckworm неоднократно обновлял свой инструментарий, выпуская новые версии известных инструментов и недолговечной инфраструктуры, а также новые дополнения, такие как вредоносное ПО для распространения по USB.

Известно, что Shuckworm использует фишинговые письма в качестве начального вектора заражения, чтобы получить доступ к машинам жертв и распространить вредоносное ПО. Злоумышленники рассылают украинским жертвам электронные письма с вредоносными вложениями, причем вложения представляют собой файлы различных типов, таких как:

• .docx
• .rar (архивные файлы RAR)
• .sfx (самораспаковывающиеся архивы)
• .lnk
• .hta.

Наблюдаемые Symantec заманивания жертв касались, в частности, вооруженных конфликтов, уголовного судопроизводства, борьбы с преступностью, защиты детей.

После заражения жертв злоумышленники загружают на компьютеры дополнительные бэкдоры и инструменты.

Shuckworm также был замечен в использовании нового сценария PowerShell для распространения своего собственного вредоносного бэкдора Pterodo через USB. Исследователи из компании Symantec, входящей в состав Broadcom, в апреле 2022 года написали в блоге о Backdoor.Pterodo, задокументировав, как мы обнаружили четыре варианта бэкдора с аналогичной функциональностью. Эти варианты представляют собой дропперы Visual Basic Script (VBS), которые сбрасывают файл VBScript, используют запланированные задачи (shtasks.exe) для поддержания постоянства и загружают дополнительный код с командно-контрольного (C&C) сервера.

Примеры последних запланированных задач включают выполнение следующих командных строк:

• CSIDL_SYSTEM\wscript.exe "CSIDL_PROFILE\appdata\local\temp\desert" //e:vbscript //b /dmc /j2k /spl /nff
• CSIDL_SYSTEM\wscript.exe "CSIDL_PROFILE\favorites\jumper.asf" //e:vbscript //b /asf /mdf /nab /apk
• wscript.exe "C:\Users\[REDACTED]\Contacts\delightful.abk" //e:vbscript //b /cfg /mdm /cfm /mp4

Новый сценарий PowerShell сначала копирует себя на зараженную машину и создает файл ярлыка с расширением rtk.lnk. Сценарий использует такие имена файлов, как "porn_video.rtf.lnk", "do_not_delete.rtf.lnk" и "evidence.rtf.lnk", пытаясь заманить людей открыть эти файлы. Эти имена файлов, как правило, на украинском языке, но некоторые из них также на английском.

Далее скрипт перечисляет все диски, копируя себя на все доступные съемные диски - USB-накопители. Эти USB-накопители, вероятно, используются злоумышленниками для латерального перемещения по сетям жертв и могут быть использованы для того, чтобы помочь злоумышленникам добраться до компьютеров с воздушной защитой в целевых организациях.

В ходе этой недавней активности Symantec также наблюдали, как группа использовала легитимные сервисы в качестве серверов C&C, включая использование сервиса обмена сообщениями Telegram для своей инфраструктуры C&C. Совсем недавно они также использовали платформу микроблогов Telegram под названием Telegraph для хранения адресов C&C.

Shuckworm, как правило, использует свою инфраструктуру C&C только в течение короткого периода времени, что ограничивает полезность ее C&C, когда дело доходит до поиска дополнительной активности или связывания активности вместе. Однако группа использует SSL-сертификаты, имеющие некоторые общие черты, которые могут быть использованы в целях отслеживания. Symantec считает, что группа, скорее всего, использует предварительно сконфигурированные образы для использования в своих C&C. Эти данные могут помочь исследователям выявить дополнительную инфраструктуру C&C и активность Shuckworm".

Symantec также обнаружила, что, скорее всего, Giddome, инструмент для похищения информации, который является известным бэкдором Shuckworm, был развернут в сетях жертв для кражи и утечки интересующих данных.

Indicators of Compromise

IPv4

• 104.156.230.193
• 104.248.54.250
• 104.248.86.158
• 108.61.211.250
• 134.122.43.175
• 134.122.51.47
• 134.209.0.136
• 134.209.182.221
• 134.209.33.42
• 136.244.65.253
• 137.184.178.46
• 138.68.110.19
• 138.68.174.177
• 139.59.109.100
• 139.59.60.191
• 140.82.11.60
• 140.82.16.120
• 140.82.18.48
• 140.82.47.181
• 140.82.50.37
• 140.82.56.186
• 142.93.108.1
• 143.110.180.68
• 143.198.135.132
• 143.198.152.232
• 143.198.50.118
• 143.198.53.203
• 143.244.190.199
• 146.190.117.209
• 146.190.127.238
• 146.190.212.239
• 146.190.60.230
• 147.182.240.58
• 147.182.250.33
• 149.28.125.56
• 149.28.130.189
• 149.28.181.232
• 149.28.98.149
• 155.138.194.244
• 157.245.176.123
• 157.245.69.118
• 158.247.204.242
• 159.203.164.194
• 159.223.102.109
• 159.223.112.245
• 159.223.23.23
• 159.65.176.121
• 159.65.248.0
• 161.35.232.118
• 161.35.238.148
• 161.35.95.47
• 164.92.185.60
• 164.92.222.8
• 164.92.245.246
• 164.92.72.212
• 165.22.72.74
• 165.227.121.87
• 165.227.48.59
• 165.227.76.84
• 165.232.120.169
• 165.232.165.42
• 165.232.77.197
• 167.172.144.127
• 167.172.20.159
• 167.172.58.96
• 167.172.69.123
• 167.71.67.58
• 167.99.215.50
• 170.64.136.186
• 170.64.138.138
• 170.64.140.214
• 170.64.146.194
• 170.64.150.90
• 170.64.156.98
• 170.64.168.228
• 170.64.188.146
• 173.199.70.238
• 178.128.16.170
• 178.128.213.177
• 178.128.228.252
• 178.128.231.180
• 178.128.86.43
• 188.166.176.39
• 188.166.4.128
• 188.166.7.140
• 192.248.154.154
• 193.149.176.26
• 195.133.88.19
• 195.133.88.55
• 199.247.8.115
• 202.182.116.135
• 202.182.98.100
• 206.189.0.134
• 206.189.128.172
• 206.189.14.94
• 206.189.149.103
• 206.189.154.168
• 206.189.80.216
• 206.81.28.5
• 207.148.72.173
• 207.148.74.68
• 209.97.175.128
• 216.128.140.45
• 216.128.178.248
• 24.199.107.218
• 24.199.84.132
• 31.129.22.46
• 31.129.22.48
• 31.129.22.50
• 45.32.101.6
• 45.32.117.62
• 45.32.158.96
• 45.32.184.140
• 45.32.41.115
• 45.32.62.100
• 45.32.88.90
• 45.32.94.58
• 45.76.141.166
• 45.76.202.102
• 45.77.115.67
• 45.82.13.22
• 45.82.13.23
• 45.82.13.84
• 45.95.232.29
• 45.95.232.33
• 45.95.232.51
• 45.95.232.74
• 45.95.232.92
• 45.95.233.80
• 46.101.127.147
• 5.199.161.29
• 64.226.84.229
• 64.227.64.163
• 64.227.72.210
• 66.42.104.158
• 66.42.126.121
• 68.183.200.0
• 78.141.238.136
• 78.141.239.24
• 78.153.139.7
• 81.19.140.147
• 84.32.128.239
• 84.32.131.38
• 84.32.131.47
• 84.32.185.136
• 84.32.188.13
• 84.32.188.69
• 84.32.190.137
• 84.32.190.31
• 84.32.191.147
• 84.32.34.69
• 88.216.210.3
• 89.185.84.32
• 89.185.84.45
• 89.185.84.48
• 89.185.84.50
• 95.179.144.161
• 95.179.245.185

SHA256

• 28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01
• 2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581
• 31e60a361509b60e7157756d6899058213140c3b116a7e91207248e5f41a096b
• 3393fbdb0057399a7e04e61236c987176c1498c12cd869dc0676ada859617137
• 3458cec74391baf583fbc5db3b62f1ce106e6cffeebd0978ec3d51cebf3d6601
• 7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a
• 91d42a959c5e4523714cc589b426fa83aaeb9228364218046f36ff10c4834b86
• a615c41bcf81dd14b8240a7cafb3c7815b48bb63842f7356731ade5c81054df5
• acc2b78ce1c0fc806663e3258135cdb4fed60682454ab0646897e3f240690bb8
• c62dd5b6036619ced5de3a340c1bb2c9d9564bc5c48e25496466a36ecd00db30
• c6f6838afcb177ea9dda624100ce95549cee93d9a7c8a6d131ae2359cabd82c8
• dbd03444964e9fcbd582eb4881a3ff65d9513ccc08bd32ff9a61c89ad9cc9d87
• f7a6ae1b3a866b7e031f60d5d22d218f99edfe754ef262f449ed3271d6306192