CERT-UA принимаются точечные меры, направленные на раскрытие и минимизацию вероятности реализации злонамеренного замысла организованной группой злоумышленников, которая отслеживается с 2013 года по идентификатору UAC-0006.
В контексте общего ландшафта киберугроз Украины группировка UAC-0006 занимает первое место в категории финансовых преступлений, осуществляя (попытки) похищения денежных средств со счетов украинских предприятий с помощью вредоносных программ в размерах от одного миллиона гривен в неделю.
К сожалению, текущее состояние кибербезопасности предприятий, учреждений и организаций, несмотря на многочисленные публикации и информирование о киберугрозах, допускает чрезвычайно низкий уровень защищенности автоматизированных рабочих мест бухгалтеров, на которых фактически осуществляется управление финансами организаций на миллионы и миллиарды гривен.
Незащищенность таких компьютеров может быть прямым свидетельством халатности руководителей организаций и специалистов соответствующих направлений, что, в свою очередь и по вине последних, непременно приводит к значительным материальным убыткам.
По имеющейся технической информации получения несанкционированного доступа и дальнейшее скрытое управление инфицированным компьютером осуществляется с применением, по меньшей мере, 13 разновидностей специализированных программ, в частности:
- SMOKELOADER
- LOADERX3
- RMS
- RDPWRAPPER
- DANABOT
- LUMMASTEALER
- REDLINESTEALER
- SYSTEMBC
- TALESHOT
- PIEJET
- LOADNEST
- HANGTHREAD
- BACKSTAB
- AUKILL
В общем, после первичного поражения ЭВМ и доставки SMOKELOADER, последний используется для загрузки и запуска на ЭВМ других программ и модулей. Несмотря на точечность рассылок (в основном, они уже ориентированы на бухгалтеров), выявление "бухгалтерских" ЭВМ, в частности, осуществляется с помощью TALESHOT путем анализа названий окон и процессов программ, функционирующих на компьютере (список ниже), и регулярной отправки скриншотов злоумышленникам для наблюдения и принятия решения.
- iBank2 ua
- iFOBS
- CABiNET
- Інтернет банкінг
- Ощадбанк
- БАНК
- Piraeus
- Інтернет-банкінг
- Sense Bank
- Онлайн Банкінг
- iSign Desktop
- A24
- Банк Кредит Дніпро
- Приват24 для бізнесу
- bank
- CorpLight
- Sense
- Укргазбанк
- click
- ifobsclient.exe
- clibankonlineua.exe
В случае, если ЭВМ является интересной для злоумышленников (по названию финансового учреждения, размеру остатков на счетах и т.д.) на ЭВМ подгружается сборка RMS + LOADERX3 + RDPWRAPPER, что дает возможность злоумышленнику в интерактивном скрытом режиме удаленного рабочего стола (параллельно с легитимным пользователем) проанализировать детально потенциальную жертву. Одновременное количество таких "перспективных" компьютеров, за которыми ведется наблюдение, составляет несколько десятков ЭВМ.
После принятия решения о возможности похищения денежных средств осуществляется подготовка цепи для вывода средств (определение подставных промежуточных фирм, "дропов" и т.д.). В зависимости от обстоятельств оператор может либо самостоятельно формировать несанкционированный платеж, либо изменять реквизиты в уже подготовленном и отправленном на подпись директору документе.
После отправки платежки в банк с целью маскировки/выигрыша времени ЭВМ может быть выведена из строя путем запуска специализированных программ, в частности, HANGTHREAD, что, фактически, осуществит DoS (отказ в обслуживании), то есть исчерпает вычислительную мощность и приведет к постоянному "зависанию" компьютера.
Часть группировки, ответственная за получение похищенных денежных средств, может прибегать к коммуникации с сотрудниками банка, предоставляя поддельную информацию, в т.ч., документы, которые якобы удостоверяют легитимность платежей.
Так сложилось, что рабочее место бухгалтера, по определению, предполагает обработку большого количества входящих электронных писем, в т.ч., полученных в обход возможного периметра защиты на электронные адреса сторонних сервисов. Кроме того, с такого компьютера осуществляется взаимодействие с различными информационными системами, что, в совокупности, требует наличия доступа к сети Интернет.
Для уменьшения вероятности реализации киберугрозы ЭВМ бухгалтеров требуют принятия отдельных технических мер, в первую очередь, ограничение возможности запуска исполняемых файлов и скриптов (желательно, по принципу "белого" списка) с использованием штатных технологий операционных систем Windows, таких как SRP или AppLocker. Обидно, но бывают случаи, когда на ЭВМ с миллионными платежами нет даже средства защиты от вредоносных программ ("антивируса").
Indicators of Compromise
IPv4
- 104.194.130.185
- 109.234.156.180
- 128.140.123.187
- 149.248.76.158
- 152.89.198.77
- 193.106.175.11
- 195.85.115.195
- 212.193.48.80
- 213.227.154.170
- 217.12.206.218
- 45.129.14.157
- 45.143.136.123
- 45.144.28.76
- 45.87.154.158
- 78.24.222.162
- 85.208.107.228
- 91.203.193.162
IPv4 Port Combinations
- 104.194.130.185:443
- 128.140.123.187:443
- 213.227.154.170:443
- 217.12.206.218:4001
- 217.12.206.218:4444
- 45.129.14.157:443
- 78.24.222.162:37819
Domains
- africathrillthes.pw
- againandagaingmorder.ru
- bloockflad.pw
- bluepablo.fun
- boddyshow.fun
- bookgames.pw
- cafeteriumups.ru
- comperssw.fun
- coudzoom.ru
- dayzilons.pw
- downloadrezerves.ru
- duhodown.fun
- howlcars.fun
- keewoolas.pw
- killredls.pw
- kowersize.fun
- monopoliafromyou.ru
- moskhoods.pw
- mouseoiet.fun
- plengreg.fun
- revivalsecularas.pw
- rms-server.tektonit.ru
- steycools.pw
- superdadymster.ru
- unayt.ru
- zamesblack.fun
URLs
- http://152.89.198.77/Rar64.exe
- http://152.89.198.77/rss.rar
- http://217.12.206.218/dll64.exe
- http://217.12.206.218/pdrs.rar
- http://217.12.206.218/pe64.exe
- http://217.12.206.218/rar64.exe
- http://217.12.206.218/rss.rar
- http://217.12.206.218/svc64.exe
- http://45.144.28.76
- http://45.144.28.76/pe64.exe
- http://45.87.154.158
- http://85.208.107.228/dll64.exe
- http://85.208.107.228/ntwdblib64.cab
- http://85.208.107.228/pe64.exe
- http://againandagaingmorder.ru/index.php
- http://coudzoom.ru/rmsuxjhfgsgf/rmns.exe
- http://downloadrezerves.ru/download11/mstsc.exe
- http://downloadrezerves.ru/index.php
- http://unayt.ru/pdrs.rar
- http://unayt.ru/rar.exe
- http://unayt.ru/rar32.exe
- http://unayt.ru/rss.rar
MD5
- 002ee911a54f512dab8b833da0dc2a35
- 00ec71e2ae2c8c69dee05433a00ddece
- 01398c6e553132da83899bce8549823d
- 0e2cb4abb14df801ab4fd9395ee1da2b
- 0f26459bb921dc4e84111fa9bf47ae0e
- 1a866aee8625c402b0a675b278b80ed4
- 1ba7180e94c0ed3b6fccf3a570e08c1c
- 1dfb5800ddfd05a53d03f2748e2953ba
- 1ec8db165fd00337acf3097ce1105055
- 28049b64aae1c43772ad820fcc8c04e1
- 287ab861aa011884231f8272dd376265
- 2c2162db95e4c54e054f6c4bf41bce40
- 2deed471aad264ac8ead41a136857cb3
- 333989fe97245c42878302e19f73908f
- 391ca89a3ba44eb392ad6fe6d3e0b8b2
- 3dc23dc2ce48172ec23946ebce15d955
- 3e6437db9dd11c337b57be21b2d8af4f
- 3ef1ade93df3fd610c750ae4b2eb5c53
- 3f4f5a6cb95047fea6102bd7d2226aa9
- 40174332b7a60e861bd16e91bf97a377
- 46b9857ccb9a821f867b30e874b0abc2
- 4abeb55832395628d6d2a63b86fa98f3
- 4d3fed73e76b59331bc0b434c5e116ec
- 50801a6a1e77dd210692453068918719
- 51d34adf7e8c3bbe9eae6af45e0b578c
- 520616ac3f2761c0ba28e9df46006c24
- 5475582d915220ac1b498037668ca47d
- 54d05b146bfef854f9f3cf7315e913c0
- 553cc8aee992da42454595e76d7afb37
- 59011d657d77964d8128a4e6e1be58bb
- 59e79288620f722d314e6a322b98ebec
- 5c14976a007e34cb8cbc71302e0218ed
- 5ca9bc79f2a391bffffcbc1e46c21a75
- 62934e4932fd259480ebc745e98f27f6
- 636653ebd2a209ea32412185e9d7b22c
- 6e1dae122aee6095a3c0fb3b06b588ec
- 6f4cbef8adb1d38b55bafd5a2ed25900
- 73d5e14a9fb62e55719797fa27ff59fd
- 73dd9658525a8902ff478d3781757f6f
- 74ada74560ef2abf4a5ebe6b61acf0d1
- 7b148f783bc07078b341a45a2873ad02
- 7cf7c96a6ea5b5620e7c52bcef571f5b
- 8010dfb8f115f11dfbc3402e5d7d6376
- 807b28c93a4781a43f099d08cb83381a
- 8459291c94582a0cf7b20a75abe32e47
- 860927bbacf1b500b7e357edd8b5ab28
- 886b3a02db6e709d0db1c8efc6cc5888
- 89a48a234e13b3dd124dcca372ae6b94
- 8bbaea24b50233cafb1909379f488f46
- 8f2fbecbd95bff475d1ed81c87a528e6
- 98ccf02751ac36ba7532f10921a236d4
- 9d1e55f38cec1cbc9f2395b93c1d45da
- a7a0b19a0687f4e96c82e33bf8b6a220
- b179f612a3f84a1b8735bbbfbf027fdb
- b2880e839ecca8e7cce99aea2c4e0e7c
- b7078c5c3705ac2c85627ff3125b31c6
- c4ac477cf3976e5cd2b4e40a294631ad
- c719830edafcba1cfae6ac316802bead
- c7359c9428e95d4fb2403d292fc36d86
- c775f971e335894ba57f53ce25727f4c
- c8be28017ead02d796491170c2b4779c
- c9d8239b0744ef3a51f748fecf720d11
- cc4dc9f036d76fb1d9b9dd876a866a33
- cdd1d99d6406c04377891ec42bfacf4d
- ce956d5aa11b9fb152e7bad48c7a82fe
- d2534115c697e47fa88ddca72678281b
- d6caa24a223da27b5409897a67558de7
- d8f273fbfa22b9532d8446c48d58b4d5
- d93a65d481ac91fe933c3983c0727e6d
- dc159d07b8cdde55acebc57c1ca08e45
- dd82ad2f0982d44af5adafa428af411b
- de25b4e1376200d0b09e4b91cdfccbbc
- df19dcb46f1626274619d0a510367339
- e177aa61bd4e2190cb6d997a3e611988
- e31aa82ddb9f8dd689e49002ef679d65
- e48e084287f31f19fe4eaa542fe7994a
- e56ad99f5e7fed2c2caa6a1c103bcb4e
- e590ed2a0eac4f068beae4014c422e91
- e61f1ee63f169bf4b6d5b3ff4269adff
- e6309a5562b1d6af94d9b92864b922f2
- e7eca51fe13df8f4270ce0c0cb2a5b7a
- efb98aaeb5bf5bcd27d1ee526e13a1f9
- eff0347c302f49d6fde8c4f5885649c5
- f33fde5733e125f568229b309175bf18
- f3b0c9f3837616d58f5b3b93a707e067
- f5ef5abcee308e07245298e606148e7d
- f634458ac460762c0e9e3b8b7c29cb09
- f670c45794880db143f04af876c1ea26
- fb20ddb989d0873905cbe9b572a6fdab
- fb611ea22af321e0492992fd04644320
- fb90e043820ea943876190e58ace5a5e
- ffad5f31e872f1021c1553da38fa78ac
- ffcad40333d105366b2037ab97e22c44
SHA256
- 00a2495f4b60d76deb296e2e91bdad323d53d92287aead2c8138978aca4c7e7c
- 013596c0927c3e3e9863f9081766764f3edde0d6fec1d0c49d811342ae54a909
- 0517f3d19ad13d3b9bd788de00bb575b123dcbd2f93feed19c5b8c71932cd378
- 07145a445ffdc5212d900b1b08ed2b3fc9e01b23410d8c2b81b848a21b6cdd07
- 0b9f1f64ba966e524db3b76a196e0a4194749b072fa2c6095dfe515a0ec84e9c
- 0de8b287ddc4c9674a7dfb915cc86960d5a9a14ff27e3aeed0fc79a611714ba0
- 1709fc32454a86857fccad985e4a6c8f4c431912909d18262b58fc9119e9cc87
- 2100d850a75c59b8fd9397410bec6a3632db5166657514b68fcb6342dad20dc5
- 22db8b2b2edf976953e78f909a4d77a9bde817bf1109fdccff3f17bbf28573d0
- 26d9052fba22c204381e02ce14e391120823836e667407ad5107e892107db1c6
- 26e81deb48fc782b1c02da725212715b0f1f5497b7959e786d8e926140019c10
- 28f384fa60789be0449e713da57acdda36f48ad9eb027b819a5774efa1f330e0
- 2971c3d824c0186ec56f7a70f13231081634675ceab6bf72bfe2c0d82a5d328a
- 2b7e1cbde28abd02186d95561325cd2458c48ec0850c08f181825f13126a57fc
- 2b84023578c52f7086fd5a3dba6523ef5a011f894d802df4750cf126e9632036
- 2c0b94ce8d181d6e70c050572ce521314ff2810494be61332513b3293a0ff04a
- 2d018432e74a261f4731ab9c40f14a5596a58ad20483fb1d0c8523279071bd10
- 2fb7946935b1974db9a9865e5ece3d8bcb676aa7da35e26228126c213881160d
- 3676ee70492d30e156eac1d1b8e7a99e18deb7beabd64dc89bbf18c6a9326579
- 38f548f2e6d8a1bb329353a7d6f0965d86039dc1dc7b0b9cb9ee518ec0ac0fb1
- 3a5ac5f7bfaf605114ba2dfdd5f2aeb1f1b95bebed961db01f2ef4fee281d584
- 3c3655ee88d3c2b223028ab4aeb69261836110792212bbb19ef67d141e7c4cd4
- 4266cfdaac1693b20a681ee7eccd9faf1759b1da98e052be50e178fc59d4b527
- 442b6485fe11df3c6c52f5fbee5285e0c3f3008f76a0e01a1f471384d0540fea
- 466639f24592c750c89b2fd57e728142fb6573496bf8a03023516b7d5a2855fc
- 47334e82c752d503aee8e14bbe5e2877bb4704c103037b2989e547bbd8a13399
- 4a18fd427e720bd443ab0c68da1a152a82580245fb517adf2170231316f124e2
- 4bbddf37cf7ccf85920abfb4eb86bfb37b558616db11bad35ff92c151f907c1f
- 4c683c1262cbca4ef98dcd47e7bb7a3c0a0e013f48c9b9bad4dfdf9785aeda4a
- 4e9b3c53267496e9c4bdaff35ec73c3b928aa00df43bda0798fc44e4a00ebcd6
- 5401fe1d4765db70b0b629fc1834c6142eaee8d658b74b0c7d85a6a24130be4a
- 540f5f2f4ae4c8f0c59f40539233b9d6280c2b4c5408e33590f34cd00c4db719
- 55f880682b9683a562739689d73863b50731d036b074660798ef4ef8779f3212
- 5879f41d795a34be029c0f7b4b7c4bdc8487ac98c3c2f733e7042cec9384d8a5
- 59126c9514edae03205274dddbd30687e8287c89a6a17828de3c8ec217edc823
- 5dc12881583dafe77eb12c04172d15cd08086b89d818e69a12137a72412d61bc
- 68f5eee3b2a9ece7df774de37fe6108d6417aa4d5f1b83fee96d69e3336bdf09
- 6bee504317c9474ab2c90696d571e8ee08c3baa89cfbc528c2f2a6ce9d61ae3e
- 70f051b880fe4c1ba666269ebc42be586904c8147d42355dc33fd0ad82b0a03f
- 72a0f478c5ec30435d9f6a0f88f4e05ff2a6129b75084c413d83cdeda95640e5
- 72f4983e496f2a3f98a308b4cd5514e873278a77f245f1af67429b68bdcfbc60
- 781cccb61e97abfaed8be526f27406c0d42317e2f3b4b29f9813483f858015e8
- 79da7ae818c5ce5521747b1295099ef2832d9f5defd41d84d45efe97feac1069
- 7b00c678067209afc73e4e033c22f2a73bb00cb3b187f14f71fb9438f6b0d7d8
- 7bed586bda9b5cda15417049eace128f079c6484964574eaf0deb27da8f25514
- 7d2e3ffd2b53bf8fa821fca115cadb764831a98c1225d4969b46c25f9263d61c
- 7d7262ab5298abd0e91b6831e37ef0156ded4fdceeaf8f8841c9a80d31f33f8e
- 7e2fa02324aedc91e77578dc2e33168dade2f93d789c8d4818425b02552c6bbb
- 7fc53b389b0db7ea8de5293b0ab5647702ae4f53f8db62a9d4898fdfcbcfc8d8
- 859b9aa8b53f4ac30ffdc0bdb6865543f728eab41141f8ee356b97815bf05907
- 86ba96ad6889b0ced837513d8213f271eb8dee846eaca18eccb258b1e7c58a8e
- 87b6e328177b5564e2ff1ee689832b66401ec138290b9c6be9dfa5efe159ed89
- 8c549f4c722051fe899ef4c187314ed7499cf2ef041ab731928f1b0d3207d1f1
- 8e692f03eaa57d78f7c1e6800da0607bda93c92d2aef48dc605d75ee380be4f7
- 8e95e36a6a5adbfd819e456a2169af140a37dbc84a29323a0a82e78404729af4
- 93aca6a2666afff5945a73505e6fb9ef8cfcc60a1013e30c2d042ab57e24c4d8
- 974fb18ae6501d22333c46c1eba9f4a0452bad5a2ee1db99468b601f4a5e99fb
- 99fd9e75e6241eff30e01c5b59df9e901fb24d12bee89c069cc6158f78b3cc98
- a022ae3da8022d7ce2b655bcc404c71aa46dfe8a03b032c8fd32f345793f535a
- a0682aed6e0c1b9d8bb734ec4641de1394e810c61bce687529c8d784148b8277
- a8a3130c779904e23b50d69b4e73a714b345e296feebb9f64a732d5c73e7973b
- a98b6eb53472ba4715831e5cd05ddf976fa31e4844372a729d03d773928b752b
- b0df9e3ea2388c93a7f2f7f1339cab52ebfea40885cf9be43457ee1e14a758de
- b2ff4248a2c211be0a6bbb1c81ed2a75b4a2d43c6dbeb09fbbf415f2c24b0f56
- b3557658e3e341f1e9017d317499f15cb9b4d61bbeb2839d2e173bfd7c7ca84f
- b6051f4a4a60d5d1e43f66ca668bb62592bc97d85986e586a9d4fcaba359210d
- b6cc2602ec1538893e03dd5f3f1fc009ab8c711688bb03b5e3e396884d57e1a8
- bb8c2ada0a6504301326e0b6a64e0273499661f95f6acaac19a7aea47efff851
- be33946e29b3f0d2f3b1b68042bd6e81f64a18da0f0705d104a85f1bee207432
- c19b457db06b149c100dd8273757362f0dd2d972b82cda0c49eb849b748a9e35
- c863a947292209325b25dd6f3f336e40d305ebafe5af61539dab69eaf57d99a1
- ca941e6c5b488489213b60d4bc92f59bf41b2409c287f98c07cad23c89a16fd4
- caec71789c7a1269b68b5087ca9fb8a4a465b8f2ff039600a73ead0690f45bc7
- cc4e18d25ce53ae65c3d80fdcaa336f0439b61ed750621b4415a378a8881622e
- cdadc54e3525b7a5c6894640b4ee3990ae403c3c30c1bf4b6593194bcdb99d6e
- ce644469e151fb03ce0f7da650b4fd0f1e59df1fdea45c1fac01ef91079ff9c6
- cfc44f1399e3d28e55c32bcc73539358e5ac88c0d6a19188a52b161b506bea91
- d21a654530dee1fe7ec83288e820c7149462fdd31fe2a3100d12a526017000d3
- d2543728234362a648cb0b29affed8a0b9d3338fd0b1ca28eb921237221f1a61
- d30a10cd63b5698fb9681f60193aa54da6ad104bfff7f5480082d219f9b36e3d
- d480591f35dc9654d8461b47067f5bf399e5fdf96e60b01ed6b7448665fe8a49
- d5152e36935d23b789e74adb2db574752a3b7598eed825b7260d4fe400aa95d6
- dea68b2fb5d4eeca75b472d432ee7c14eaa4cf6fbd211199302f6d9fcfc27e80
- e79ac607e174d2ffee97b3efd899484c3720e9dba796aa2cfb05217abd05bb19
- eb05e77b24403f93f979a63c00d16654f3930fae33902bf5c9b0fdcd89317862
- edfb483c3a6ccc2cb3710175518e254d976c20a0cfa8054f110ebc15d97a2df9
- f54440f8758df45a64f7fd69e51c6993c52bb019300dfa001a0f273e54861b4c
- f680717659c07ce65766cacf5a108186e38565e91bb0e40e36b07780bb7eb1a3
- f6f62f0561d54e5bbe6261f2e34ab7531e11986b0a0b95bb9c746fe7cf887f36
- f8d486c2e9254d7e8e7a22e21f681e56a22c78b1457b44e5f5af68d833d30992
- fc1a3f4b69bf7a79fdee02d757a5a0f83af0a8fb9eb1d774e03c620a7e0bd484
- fc38d984f519fde3daade6c529fba6f876e12d986355533b703567b7f1e84eb1
- fd56aeec91d539792301ee45517c5a2b97e1e22880dcd8c9fb7da60e11cce35d