TURLA APT IOCs - Part 3

security IOC
Опубликовано

CERT-UA c 2022 года по идентификатору UAC-0024 отслеживается активность, которая заключается в осуществлении целевых кибератак, направленных против сил обороны с целью шпионажа с применением вредоносной программы CAPIBAR .

CAPIBAR так же известна как Microsoft: "DeliveryCheck" и Mandiant: "GAMEDAY"

Кроме применения XSLT (Extensible Stylesheet Language Transformations) и COM-hijacking специфика CAPIBAR заключается в наличии серверной части, которая, как правило, устанавливается на скомпрометированных серверах MS Exchange в виде MOF (Managed Object Format) файла с применением PowerShell-инструмента Desired State Configuration (DCS), фактически превращая легитимный сервер в центр управления вредоносной программой.

На этапе первичной компрометации, кроме отправки электронных писем с приложением в виде документа с макросом, злоумышленники могут осуществлять модификацию документов (например, на внутреннем общедоступном сетевом ресурсе), добавляя в структуру легитимного макроса несколько строк кода, которые обеспечат запуск PowerShell.

При этом, при определенных обстоятельствах на пораженные ЭВМ подгружается сложный многофункциональный бэкдор KAZUAR, в котором реализовано более 40 функций, среди которых: "chakra" (запуск JS с помощью ChakraCore), "eventlog" (получение данных из журналов ОС), "forensic" (сбор артефактов: compatibilityassistant, exploreruserassist, activitiescache, prefetchfiles, muicache), "steal" (похищение аутентификационных данных: passwords, bookmarks, autofill, history, proxies, cookies, filezilla, chromium, mozilla, outlook, openvpn, system, winscp, signal, git), "unattend" (похищение баз данных/конфигурационных файлов программ: KeePass, Azure, Gcloud, AWS, bluemix и других).

Среди прочего известны случаи эксфильтрации из инфицированных ЭВМ файлов по определенному перечню расширений с использованием легитимной программы rclone.

С учетом особенностей тактик, техник и процедур, а также факта использования программы KAZUAR, с достаточным уровнем уверенности описанную активность (UAC-0024) ассоциирована с группировкой Turla (UAC-0003, KRYPTON, Secret Blizzard).

Indicators of Compromise

URLs

  • https://aleimportadora.net/images/slides_logo/
  • https://aleimportadora.net/images/slides_logo/?page=
  • https://aleimportadora.net/images/slides_logo/fg/message
  • https://aleimportadora.net/images/slides_logo/fg/music
  • https://aleimportadora.net/images/slides_logo/fg/video
  • https://aleimportadora.net/images/slides_logo/index.php
  • https://atomydoc.kg/src/open_center/
  • https://atomydoc.kg/src/open_center/?page=ccl
  • https://atomydoc.kg/src/open_center/?page=fst
  • https://atomydoc.kg/src/open_center/?page=snd
  • https://atomydoc.kg/src/open_center/?page=trd
  • https://mail.aet.in.ua/outlook/api/logoff.aspx
  • https://mail.aet.in.ua/outlook/api/logon.aspx
  • https://mail.arlingtonhousing.us/outlook/api/logoff.aspx
  • https://mail.kzp.bg/outlook/api/logoff.aspx
  • https://mail.kzp.bg/outlook/api/logon.aspx
  • https://mail.lebsack.de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC
  • https://mail.lechateaudelatour.fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC
  • https://mail.numina.md/owa/scripts/logon.aspx
  • https://octoberoctopus.co.za/wp-includes/sitemaps/web/
  • https://sansaispa.com/wp-includes/images/gallery/
  • https://www.adelaida.ua/plugins/vmsearch/wp-config-plugins.php
  • https://www.adelaida.ua/plugins/vmsearch/wp-config-themes.php
  • https://www.adelaida.ua/plugins/vmsearch/wp-file-script.js
  • https://www.pierreagencement.fr/wp-content/languages/index.php

MD5

  • 11a289347b95aab157aa0efe4a59bf24
  • 153b713b3c6e642f39993d65ab33c5f0
  • 17402fc21c7bafae2c1a149035cd0835
  • 4065e647380358d22926c24a63c26ac4
  • 420b7dc391f2cb0a9a684c1c48c334e2
  • 491e462bf1213fede82925dea5df8fff
  • 5210b3d85fd0026205baee2c77ac0acd
  • 5c7466a177fcaad2ebab131a54c28fab
  • 65102299bf8d7f0129ebbcb08a9c2d98
  • 8c56c22343853d3797037bdac2cec6c7
  • 9dd2bea4f2df8d3ef51dc10c6db2e07a
  • 9ececb4acbf692c2a8ea411f2e7dd006
  • b63c2ec9a631e0217d39c4a43527a0ce
  • cba1f4c861240223332922d2913d18e5
  • cdf7fa901701ea1ef642aeb271c70361
  • d3065b4b1e8f6ecb63685219113ff0b8

SHA256

  • 01c5778be73c10c167fae6d7970c0be23a29af1873d743419b1803c035d92ef7
  • 07f9b090172535089eb62a175e5deaf95853fdfd4bcabf099619c60057d38c57
  • 19b7ddd3b06794abe593bf533d88319711ca15bb0a08901b4ab7e52aab015452
  • 1c1bb64e38c3fbe1a8f0dcb94ded96b332296bcbf839de438a4838fb43b20af3
  • 1c97f92a144ac17e35c0e40dc89e12211ef5a7d5eb8db57ab093987ae6f3b9dc
  • 4ef8db0ca305aaab9e2471b198168021c531862cb4319098302026b1cfa89947
  • 5cf64f37fac74dc8f3dcb58831c3f2ce2b3cf522db448b40acdab254dd46cb3e
  • 5e122ff3066b6ef2a89295df925431c151f1713708c99772687a30c3204064bd
  • 64e8744b39e15b76311733014327311acd77330f8a135132f020eac78199ac8a
  • 8168dc0baea6a74120fbabea261e83377697cb5f9726a2514f38ed04b46c56c8
  • 91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233
  • aaf7642f0cab75240ec65bc052a0a602366740b31754156b3a0c44dccec9bebe
  • b8ee794b04b69a1ee8687daabfe4f912368a500610a099e3072b03eeb66077f8
  • ba2c8df04bcba5c3cfd343a59d8b59b76779e6c27eb27b7ac73ded97e08f0f39
  • bd7dbaf91ba162b6623292ebcdd2768c5d87e518240fe8ca200a81e9c7f01d76
  • d4d7c12bdb66d40ad58c211dc6dd53a7494e03f9883336fa5464f0947530709f
Похожие записи:
  1. Armageddon APT IOCs
  2. TURLA APT IOCs
  3. Witchetty APT IOCs
  4. RomCom Backdoor IOCs
  5. Armageddon APT IOCs - Part 4
APT Backdoor CAPIBAR CERT-UA DeliveryCheck GAMEDAY KAZUAR KRYPTON Secret Blizzard TURLA
Добавить комментарий