Сводная информация о деятельности группировки UAC-0006

security IOC
Опубликовано

CERT-UA принимаются точечные меры, направленные на раскрытие и минимизацию вероятности реализации злонамеренного замысла организованной группой злоумышленников, которая отслеживается с 2013 года по идентификатору UAC-0006.

В контексте общего ландшафта киберугроз Украины группировка UAC-0006 занимает первое место в категории финансовых преступлений, осуществляя (попытки) похищения денежных средств со счетов украинских предприятий с помощью вредоносных программ в размерах от одного миллиона гривен в неделю.

К сожалению, текущее состояние кибербезопасности предприятий, учреждений и организаций, несмотря на многочисленные публикации и информирование о киберугрозах, допускает чрезвычайно низкий уровень защищенности автоматизированных рабочих мест бухгалтеров, на которых фактически осуществляется управление финансами организаций на миллионы и миллиарды гривен.

Незащищенность таких компьютеров может быть прямым свидетельством халатности руководителей организаций и специалистов соответствующих направлений, что, в свою очередь и по вине последних, непременно приводит к значительным материальным убыткам.

По имеющейся технической информации получения несанкционированного доступа и дальнейшее скрытое управление инфицированным компьютером осуществляется с применением, по меньшей мере, 13 разновидностей специализированных программ, в частности:

  • SMOKELOADER
  • LOADERX3
  • RMS
  • RDPWRAPPER
  • DANABOT
  • LUMMASTEALER
  • REDLINESTEALER
  • SYSTEMBC
  • TALESHOT
  • PIEJET
  • LOADNEST
  • HANGTHREAD
  • BACKSTAB
  • AUKILL

В общем, после первичного поражения ЭВМ и доставки SMOKELOADER, последний используется для загрузки и запуска на ЭВМ других программ и модулей. Несмотря на точечность рассылок (в основном, они уже ориентированы на бухгалтеров), выявление "бухгалтерских" ЭВМ, в частности, осуществляется с помощью TALESHOT путем анализа названий окон и процессов программ, функционирующих на компьютере (список ниже), и регулярной отправки скриншотов злоумышленникам для наблюдения и принятия решения.

  • iBank2 ua
  • iFOBS
  • CABiNET
  • Інтернет банкінг
  • Ощадбанк
  • БАНК
  • Piraeus
  • Інтернет-банкінг
  • Sense Bank
  • Онлайн Банкінг
  • iSign Desktop
  • A24
  • Банк Кредит Дніпро
  • Приват24 для бізнесу
  • bank
  • CorpLight
  • Sense
  • Укргазбанк
  • click
  • ifobsclient.exe
  • clibankonlineua.exe

В случае, если ЭВМ является интересной для злоумышленников (по названию финансового учреждения, размеру остатков на счетах и т.д.) на ЭВМ подгружается сборка RMS + LOADERX3 + RDPWRAPPER, что дает возможность злоумышленнику в интерактивном скрытом режиме удаленного рабочего стола (параллельно с легитимным пользователем) проанализировать детально потенциальную жертву. Одновременное количество таких "перспективных" компьютеров, за которыми ведется наблюдение, составляет несколько десятков ЭВМ.

После принятия решения о возможности похищения денежных средств осуществляется подготовка цепи для вывода средств (определение подставных промежуточных фирм, "дропов" и т.д.). В зависимости от обстоятельств оператор может либо самостоятельно формировать несанкционированный платеж, либо изменять реквизиты в уже подготовленном и отправленном на подпись директору документе.

После отправки платежки в банк с целью маскировки/выигрыша времени ЭВМ может быть выведена из строя путем запуска специализированных программ, в частности, HANGTHREAD, что, фактически, осуществит DoS (отказ в обслуживании), то есть исчерпает вычислительную мощность и приведет к постоянному "зависанию" компьютера.

Часть группировки, ответственная за получение похищенных денежных средств, может прибегать к коммуникации с сотрудниками банка, предоставляя поддельную информацию, в т.ч., документы, которые якобы удостоверяют легитимность платежей.

Так сложилось, что рабочее место бухгалтера, по определению, предполагает обработку большого количества входящих электронных писем, в т.ч., полученных в обход возможного периметра защиты на электронные адреса сторонних сервисов. Кроме того, с такого компьютера осуществляется взаимодействие с различными информационными системами, что, в совокупности, требует наличия доступа к сети Интернет.

Для уменьшения вероятности реализации киберугрозы ЭВМ бухгалтеров требуют принятия отдельных технических мер, в первую очередь, ограничение возможности запуска исполняемых файлов и скриптов (желательно, по принципу "белого" списка) с использованием штатных технологий операционных систем Windows, таких как SRP или AppLocker. Обидно, но бывают случаи, когда на ЭВМ с миллионными платежами нет даже средства защиты от вредоносных программ ("антивируса").

Indicators of Compromise

IPv4

  • 104.194.130.185
  • 109.234.156.180
  • 128.140.123.187
  • 149.248.76.158
  • 152.89.198.77
  • 193.106.175.11
  • 195.85.115.195
  • 212.193.48.80
  • 213.227.154.170
  • 217.12.206.218
  • 45.129.14.157
  • 45.143.136.123
  • 45.144.28.76
  • 45.87.154.158
  • 78.24.222.162
  • 85.208.107.228
  • 91.203.193.162

IPv4 Port Combinations

  • 104.194.130.185:443
  • 128.140.123.187:443
  • 213.227.154.170:443
  • 217.12.206.218:4001
  • 217.12.206.218:4444
  • 45.129.14.157:443
  • 78.24.222.162:37819

Domains

  • africathrillthes.pw
  • againandagaingmorder.ru
  • bloockflad.pw
  • bluepablo.fun
  • boddyshow.fun
  • bookgames.pw
  • cafeteriumups.ru
  • comperssw.fun
  • coudzoom.ru
  • dayzilons.pw
  • downloadrezerves.ru
  • duhodown.fun
  • howlcars.fun
  • keewoolas.pw
  • killredls.pw
  • kowersize.fun
  • monopoliafromyou.ru
  • moskhoods.pw
  • mouseoiet.fun
  • plengreg.fun
  • revivalsecularas.pw
  • rms-server.tektonit.ru
  • steycools.pw
  • superdadymster.ru
  • unayt.ru
  • zamesblack.fun

URLs

  • http://152.89.198.77/Rar64.exe
  • http://152.89.198.77/rss.rar
  • http://217.12.206.218/dll64.exe
  • http://217.12.206.218/pdrs.rar
  • http://217.12.206.218/pe64.exe
  • http://217.12.206.218/rar64.exe
  • http://217.12.206.218/rss.rar
  • http://217.12.206.218/svc64.exe
  • http://45.144.28.76
  • http://45.144.28.76/pe64.exe
  • http://45.87.154.158
  • http://85.208.107.228/dll64.exe
  • http://85.208.107.228/ntwdblib64.cab
  • http://85.208.107.228/pe64.exe
  • http://againandagaingmorder.ru/index.php
  • http://coudzoom.ru/rmsuxjhfgsgf/rmns.exe
  • http://downloadrezerves.ru/download11/mstsc.exe
  • http://downloadrezerves.ru/index.php
  • http://unayt.ru/pdrs.rar
  • http://unayt.ru/rar.exe
  • http://unayt.ru/rar32.exe
  • http://unayt.ru/rss.rar

MD5

  • 002ee911a54f512dab8b833da0dc2a35
  • 00ec71e2ae2c8c69dee05433a00ddece
  • 01398c6e553132da83899bce8549823d
  • 0e2cb4abb14df801ab4fd9395ee1da2b
  • 0f26459bb921dc4e84111fa9bf47ae0e
  • 1a866aee8625c402b0a675b278b80ed4
  • 1ba7180e94c0ed3b6fccf3a570e08c1c
  • 1dfb5800ddfd05a53d03f2748e2953ba
  • 1ec8db165fd00337acf3097ce1105055
  • 28049b64aae1c43772ad820fcc8c04e1
  • 287ab861aa011884231f8272dd376265
  • 2c2162db95e4c54e054f6c4bf41bce40
  • 2deed471aad264ac8ead41a136857cb3
  • 333989fe97245c42878302e19f73908f
  • 391ca89a3ba44eb392ad6fe6d3e0b8b2
  • 3dc23dc2ce48172ec23946ebce15d955
  • 3e6437db9dd11c337b57be21b2d8af4f
  • 3ef1ade93df3fd610c750ae4b2eb5c53
  • 3f4f5a6cb95047fea6102bd7d2226aa9
  • 40174332b7a60e861bd16e91bf97a377
  • 46b9857ccb9a821f867b30e874b0abc2
  • 4abeb55832395628d6d2a63b86fa98f3
  • 4d3fed73e76b59331bc0b434c5e116ec
  • 50801a6a1e77dd210692453068918719
  • 51d34adf7e8c3bbe9eae6af45e0b578c
  • 520616ac3f2761c0ba28e9df46006c24
  • 5475582d915220ac1b498037668ca47d
  • 54d05b146bfef854f9f3cf7315e913c0
  • 553cc8aee992da42454595e76d7afb37
  • 59011d657d77964d8128a4e6e1be58bb
  • 59e79288620f722d314e6a322b98ebec
  • 5c14976a007e34cb8cbc71302e0218ed
  • 5ca9bc79f2a391bffffcbc1e46c21a75
  • 62934e4932fd259480ebc745e98f27f6
  • 636653ebd2a209ea32412185e9d7b22c
  • 6e1dae122aee6095a3c0fb3b06b588ec
  • 6f4cbef8adb1d38b55bafd5a2ed25900
  • 73d5e14a9fb62e55719797fa27ff59fd
  • 73dd9658525a8902ff478d3781757f6f
  • 74ada74560ef2abf4a5ebe6b61acf0d1
  • 7b148f783bc07078b341a45a2873ad02
  • 7cf7c96a6ea5b5620e7c52bcef571f5b
  • 8010dfb8f115f11dfbc3402e5d7d6376
  • 807b28c93a4781a43f099d08cb83381a
  • 8459291c94582a0cf7b20a75abe32e47
  • 860927bbacf1b500b7e357edd8b5ab28
  • 886b3a02db6e709d0db1c8efc6cc5888
  • 89a48a234e13b3dd124dcca372ae6b94
  • 8bbaea24b50233cafb1909379f488f46
  • 8f2fbecbd95bff475d1ed81c87a528e6
  • 98ccf02751ac36ba7532f10921a236d4
  • 9d1e55f38cec1cbc9f2395b93c1d45da
  • a7a0b19a0687f4e96c82e33bf8b6a220
  • b179f612a3f84a1b8735bbbfbf027fdb
  • b2880e839ecca8e7cce99aea2c4e0e7c
  • b7078c5c3705ac2c85627ff3125b31c6
  • c4ac477cf3976e5cd2b4e40a294631ad
  • c719830edafcba1cfae6ac316802bead
  • c7359c9428e95d4fb2403d292fc36d86
  • c775f971e335894ba57f53ce25727f4c
  • c8be28017ead02d796491170c2b4779c
  • c9d8239b0744ef3a51f748fecf720d11
  • cc4dc9f036d76fb1d9b9dd876a866a33
  • cdd1d99d6406c04377891ec42bfacf4d
  • ce956d5aa11b9fb152e7bad48c7a82fe
  • d2534115c697e47fa88ddca72678281b
  • d6caa24a223da27b5409897a67558de7
  • d8f273fbfa22b9532d8446c48d58b4d5
  • d93a65d481ac91fe933c3983c0727e6d
  • dc159d07b8cdde55acebc57c1ca08e45
  • dd82ad2f0982d44af5adafa428af411b
  • de25b4e1376200d0b09e4b91cdfccbbc
  • df19dcb46f1626274619d0a510367339
  • e177aa61bd4e2190cb6d997a3e611988
  • e31aa82ddb9f8dd689e49002ef679d65
  • e48e084287f31f19fe4eaa542fe7994a
  • e56ad99f5e7fed2c2caa6a1c103bcb4e
  • e590ed2a0eac4f068beae4014c422e91
  • e61f1ee63f169bf4b6d5b3ff4269adff
  • e6309a5562b1d6af94d9b92864b922f2
  • e7eca51fe13df8f4270ce0c0cb2a5b7a
  • efb98aaeb5bf5bcd27d1ee526e13a1f9
  • eff0347c302f49d6fde8c4f5885649c5
  • f33fde5733e125f568229b309175bf18
  • f3b0c9f3837616d58f5b3b93a707e067
  • f5ef5abcee308e07245298e606148e7d
  • f634458ac460762c0e9e3b8b7c29cb09
  • f670c45794880db143f04af876c1ea26
  • fb20ddb989d0873905cbe9b572a6fdab
  • fb611ea22af321e0492992fd04644320
  • fb90e043820ea943876190e58ace5a5e
  • ffad5f31e872f1021c1553da38fa78ac
  • ffcad40333d105366b2037ab97e22c44

SHA256

  • 00a2495f4b60d76deb296e2e91bdad323d53d92287aead2c8138978aca4c7e7c
  • 013596c0927c3e3e9863f9081766764f3edde0d6fec1d0c49d811342ae54a909
  • 0517f3d19ad13d3b9bd788de00bb575b123dcbd2f93feed19c5b8c71932cd378
  • 07145a445ffdc5212d900b1b08ed2b3fc9e01b23410d8c2b81b848a21b6cdd07
  • 0b9f1f64ba966e524db3b76a196e0a4194749b072fa2c6095dfe515a0ec84e9c
  • 0de8b287ddc4c9674a7dfb915cc86960d5a9a14ff27e3aeed0fc79a611714ba0
  • 1709fc32454a86857fccad985e4a6c8f4c431912909d18262b58fc9119e9cc87
  • 2100d850a75c59b8fd9397410bec6a3632db5166657514b68fcb6342dad20dc5
  • 22db8b2b2edf976953e78f909a4d77a9bde817bf1109fdccff3f17bbf28573d0
  • 26d9052fba22c204381e02ce14e391120823836e667407ad5107e892107db1c6
  • 26e81deb48fc782b1c02da725212715b0f1f5497b7959e786d8e926140019c10
  • 28f384fa60789be0449e713da57acdda36f48ad9eb027b819a5774efa1f330e0
  • 2971c3d824c0186ec56f7a70f13231081634675ceab6bf72bfe2c0d82a5d328a
  • 2b7e1cbde28abd02186d95561325cd2458c48ec0850c08f181825f13126a57fc
  • 2b84023578c52f7086fd5a3dba6523ef5a011f894d802df4750cf126e9632036
  • 2c0b94ce8d181d6e70c050572ce521314ff2810494be61332513b3293a0ff04a
  • 2d018432e74a261f4731ab9c40f14a5596a58ad20483fb1d0c8523279071bd10
  • 2fb7946935b1974db9a9865e5ece3d8bcb676aa7da35e26228126c213881160d
  • 3676ee70492d30e156eac1d1b8e7a99e18deb7beabd64dc89bbf18c6a9326579
  • 38f548f2e6d8a1bb329353a7d6f0965d86039dc1dc7b0b9cb9ee518ec0ac0fb1
  • 3a5ac5f7bfaf605114ba2dfdd5f2aeb1f1b95bebed961db01f2ef4fee281d584
  • 3c3655ee88d3c2b223028ab4aeb69261836110792212bbb19ef67d141e7c4cd4
  • 4266cfdaac1693b20a681ee7eccd9faf1759b1da98e052be50e178fc59d4b527
  • 442b6485fe11df3c6c52f5fbee5285e0c3f3008f76a0e01a1f471384d0540fea
  • 466639f24592c750c89b2fd57e728142fb6573496bf8a03023516b7d5a2855fc
  • 47334e82c752d503aee8e14bbe5e2877bb4704c103037b2989e547bbd8a13399
  • 4a18fd427e720bd443ab0c68da1a152a82580245fb517adf2170231316f124e2
  • 4bbddf37cf7ccf85920abfb4eb86bfb37b558616db11bad35ff92c151f907c1f
  • 4c683c1262cbca4ef98dcd47e7bb7a3c0a0e013f48c9b9bad4dfdf9785aeda4a
  • 4e9b3c53267496e9c4bdaff35ec73c3b928aa00df43bda0798fc44e4a00ebcd6
  • 5401fe1d4765db70b0b629fc1834c6142eaee8d658b74b0c7d85a6a24130be4a
  • 540f5f2f4ae4c8f0c59f40539233b9d6280c2b4c5408e33590f34cd00c4db719
  • 55f880682b9683a562739689d73863b50731d036b074660798ef4ef8779f3212
  • 5879f41d795a34be029c0f7b4b7c4bdc8487ac98c3c2f733e7042cec9384d8a5
  • 59126c9514edae03205274dddbd30687e8287c89a6a17828de3c8ec217edc823
  • 5dc12881583dafe77eb12c04172d15cd08086b89d818e69a12137a72412d61bc
  • 68f5eee3b2a9ece7df774de37fe6108d6417aa4d5f1b83fee96d69e3336bdf09
  • 6bee504317c9474ab2c90696d571e8ee08c3baa89cfbc528c2f2a6ce9d61ae3e
  • 70f051b880fe4c1ba666269ebc42be586904c8147d42355dc33fd0ad82b0a03f
  • 72a0f478c5ec30435d9f6a0f88f4e05ff2a6129b75084c413d83cdeda95640e5
  • 72f4983e496f2a3f98a308b4cd5514e873278a77f245f1af67429b68bdcfbc60
  • 781cccb61e97abfaed8be526f27406c0d42317e2f3b4b29f9813483f858015e8
  • 79da7ae818c5ce5521747b1295099ef2832d9f5defd41d84d45efe97feac1069
  • 7b00c678067209afc73e4e033c22f2a73bb00cb3b187f14f71fb9438f6b0d7d8
  • 7bed586bda9b5cda15417049eace128f079c6484964574eaf0deb27da8f25514
  • 7d2e3ffd2b53bf8fa821fca115cadb764831a98c1225d4969b46c25f9263d61c
  • 7d7262ab5298abd0e91b6831e37ef0156ded4fdceeaf8f8841c9a80d31f33f8e
  • 7e2fa02324aedc91e77578dc2e33168dade2f93d789c8d4818425b02552c6bbb
  • 7fc53b389b0db7ea8de5293b0ab5647702ae4f53f8db62a9d4898fdfcbcfc8d8
  • 859b9aa8b53f4ac30ffdc0bdb6865543f728eab41141f8ee356b97815bf05907
  • 86ba96ad6889b0ced837513d8213f271eb8dee846eaca18eccb258b1e7c58a8e
  • 87b6e328177b5564e2ff1ee689832b66401ec138290b9c6be9dfa5efe159ed89
  • 8c549f4c722051fe899ef4c187314ed7499cf2ef041ab731928f1b0d3207d1f1
  • 8e692f03eaa57d78f7c1e6800da0607bda93c92d2aef48dc605d75ee380be4f7
  • 8e95e36a6a5adbfd819e456a2169af140a37dbc84a29323a0a82e78404729af4
  • 93aca6a2666afff5945a73505e6fb9ef8cfcc60a1013e30c2d042ab57e24c4d8
  • 974fb18ae6501d22333c46c1eba9f4a0452bad5a2ee1db99468b601f4a5e99fb
  • 99fd9e75e6241eff30e01c5b59df9e901fb24d12bee89c069cc6158f78b3cc98
  • a022ae3da8022d7ce2b655bcc404c71aa46dfe8a03b032c8fd32f345793f535a
  • a0682aed6e0c1b9d8bb734ec4641de1394e810c61bce687529c8d784148b8277
  • a8a3130c779904e23b50d69b4e73a714b345e296feebb9f64a732d5c73e7973b
  • a98b6eb53472ba4715831e5cd05ddf976fa31e4844372a729d03d773928b752b
  • b0df9e3ea2388c93a7f2f7f1339cab52ebfea40885cf9be43457ee1e14a758de
  • b2ff4248a2c211be0a6bbb1c81ed2a75b4a2d43c6dbeb09fbbf415f2c24b0f56
  • b3557658e3e341f1e9017d317499f15cb9b4d61bbeb2839d2e173bfd7c7ca84f
  • b6051f4a4a60d5d1e43f66ca668bb62592bc97d85986e586a9d4fcaba359210d
  • b6cc2602ec1538893e03dd5f3f1fc009ab8c711688bb03b5e3e396884d57e1a8
  • bb8c2ada0a6504301326e0b6a64e0273499661f95f6acaac19a7aea47efff851
  • be33946e29b3f0d2f3b1b68042bd6e81f64a18da0f0705d104a85f1bee207432
  • c19b457db06b149c100dd8273757362f0dd2d972b82cda0c49eb849b748a9e35
  • c863a947292209325b25dd6f3f336e40d305ebafe5af61539dab69eaf57d99a1
  • ca941e6c5b488489213b60d4bc92f59bf41b2409c287f98c07cad23c89a16fd4
  • caec71789c7a1269b68b5087ca9fb8a4a465b8f2ff039600a73ead0690f45bc7
  • cc4e18d25ce53ae65c3d80fdcaa336f0439b61ed750621b4415a378a8881622e
  • cdadc54e3525b7a5c6894640b4ee3990ae403c3c30c1bf4b6593194bcdb99d6e
  • ce644469e151fb03ce0f7da650b4fd0f1e59df1fdea45c1fac01ef91079ff9c6
  • cfc44f1399e3d28e55c32bcc73539358e5ac88c0d6a19188a52b161b506bea91
  • d21a654530dee1fe7ec83288e820c7149462fdd31fe2a3100d12a526017000d3
  • d2543728234362a648cb0b29affed8a0b9d3338fd0b1ca28eb921237221f1a61
  • d30a10cd63b5698fb9681f60193aa54da6ad104bfff7f5480082d219f9b36e3d
  • d480591f35dc9654d8461b47067f5bf399e5fdf96e60b01ed6b7448665fe8a49
  • d5152e36935d23b789e74adb2db574752a3b7598eed825b7260d4fe400aa95d6
  • dea68b2fb5d4eeca75b472d432ee7c14eaa4cf6fbd211199302f6d9fcfc27e80
  • e79ac607e174d2ffee97b3efd899484c3720e9dba796aa2cfb05217abd05bb19
  • eb05e77b24403f93f979a63c00d16654f3930fae33902bf5c9b0fdcd89317862
  • edfb483c3a6ccc2cb3710175518e254d976c20a0cfa8054f110ebc15d97a2df9
  • f54440f8758df45a64f7fd69e51c6993c52bb019300dfa001a0f273e54861b4c
  • f680717659c07ce65766cacf5a108186e38565e91bb0e40e36b07780bb7eb1a3
  • f6f62f0561d54e5bbe6261f2e34ab7531e11986b0a0b95bb9c746fe7cf887f36
  • f8d486c2e9254d7e8e7a22e21f681e56a22c78b1457b44e5f5af68d833d30992
  • fc1a3f4b69bf7a79fdee02d757a5a0f83af0a8fb9eb1d774e03c620a7e0bd484
  • fc38d984f519fde3daade6c529fba6f876e12d986355533b703567b7f1e84eb1
  • fd56aeec91d539792301ee45517c5a2b97e1e22880dcd8c9fb7da60e11cce35d
Похожие записи:
  1. NullMixer Dropper IOCs
  2. Laplas Clipper IOCs
  3. SmokeLoader IOCs - Part 8
  4. RedLine Stealer IOCs
  5. Jester Stealer IOCs
APT AuKill BACKSTAB CERT-UA DanaBot HANGTHREAD LOADERX3 LOADNEST Lumma PIEJET RDPWRAPPER RedLine RMS SmokeLoader Stealer SystemBC TALESHOT UAC-0006
Добавить комментарий