CERT-UA во взаимодействии с Центром кибернетической безопасности информационно-телекоммуникационных систем воинской части А0334 (ЦКБ ИТС в/ч А0334) приняты меры по исследованию целенаправленной кибератаки, которая заключалась в попытке поражения вредоносным программным обеспечением ЭВМ представителей Сил обороны Украины.
COOKBOX
22.02.2024 неустановленным лицом с помощью мессенджера Signal среди нескольких военнослужащих распространен XLS-документ "1_ф_5.39-2024.xlsm" с сообщением о, якобы, проблемах с формированием отчетности. Кроме легитимного макроса, упомянутый документ содержал дополнительный программный VBA-код, который обеспечивал запуск PowerShell-команды, предназначенной для загрузки, декодирования и выполнения PowerShell-сценария "mob2002.data".
Загруженный с Github PowerShell-скрипт осуществляет модификацию реестра операционной системы, в частности:
- запись основного пейлоада в base64-кодированном виде в ветку "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache" (значения: "db1"... "db27")
- запись декодера-лаунчера в base64-кодированном виде в ветку "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache" (значение: "db")
- создание ключа 'xbox' в ветке автозапуска 'Run' со значением в виде PowerShell-команды "cmd /c start /min "" powershell -windowStyle hidden -c(powershell -windowStyle hidden -enC(gpv -Name 'db' -Path 'HKCU:\SOFTWARE\Microsoft\XboxCache'))", предназначенной для запуска декодера, который обеспечит выполнение основного пейлоада
Указанный выше основной пейлоад, после декодирования, содержит очередной PowerShell-скрипт, который осуществит GZIP-декомпрессию и запуск вредоносной программы COOKBOX.
COOKBOX - PowerShell-сценарий, реализующий функционал загрузки и выполнения PowerShell-командлетов. Для каждой пораженной ЭВМ вычисляется уникальный идентификатор с использованием криптографических преобразований (хеш-функций SHA256/MD5) на основе комбинации значений имени компьютера и серийного номера диска, который, при взаимодействии с сервером управления, передается в заголовке "X-Cookie" HTTP-запросов. Персистентность бэкдора обеспечивается соответствующим ключом в ветке Run реестра операционной системы (ОС), который создается на этапе первичного поражения сторонним PowerShell-скриптом (в т.ч., COOKBOX deployer'ом). Обычно, в программном коде используются элементы обфускации: chr-кодирование символов, замена символов (replace()), base64-преобразование, GZIP-компрессия.
Для функционирования инфраструктуры серверов управления используются сервисы динамического DNS (например, gotdns.ch, myftp.biz) и Cloudflare Workers.
Indicators of Compromise
IPv4
- 34.199.8.144
Domains
- array.myftp.biz
- bom02.gotdns.ch
- worker-test-6f41.idv64828.workers.dev
URLs
- http://array.myftp.biz
- http://bom02.gotdns.ch
- http://worker-test-6f41.idv64828.workers.dev
- https://github.com/kekpelmeshek/testdatasearch/raw/main/mob2002.data
- https://raw.githubusercontent.com/kekpelmeshek/testdatasearch/main/mob2002.data
- https://shorturl.at/uvcpv
MD5
- 0ff0c9228a98dd55a4ab51ade7bfe10e
- 32091993b1a864ec259429880d4c2809
- 3d33bcef89039dba97ef243cc193d8a7
- 52ee3c6259c5aa85ece1037f7d76fd73
- 5d9ab0fba328c0fb07f1ee1794c702ef
- 6854d326b3756b92708b5658b2a3313a
- 9654451a766b27fb9e678d47094d7dd7
- a32eebda67c5de1402b539e4ae51a37b
- ba1f2511fc30423bdbb183fe33f3dd0f
- c2a31573662e0b608f8c83016490822c
- c4055568bcedad91df2ac5616395a823
- df167cd8a13e75585c5aecb6e57a4326
- f4efa1840c2fb39ebf8d6b1325617b3c
SHA256
- 181210f8f9c779c26da1d9b2075bde0127302ee0e3fca38c9a83f5b1dd8e5d3b
- 1f2057b60a31708fb397c6b27539d8643ae0e8d87cb26cb0256411da14d98c67
- 3293f76da5fa85d4a2b76a0eab30f11e4d61b81e8b4ad14efffa027d8d5f8aee
- 383023689bb2af75da5337ae864dd430086e2d7d7855a65b25f7682c344e082b
- 5b2cbeec241ea3ce083e2adab5878f8ea982084f9a7674714cd4627f118c182d
- 7bf2288b72775b7dc4b992d17b5dcbc0d6d6a6b1a049c3ec725b1d1f299bb88a
- 894cd78af8e3ccf3bd19515bb2b60434012fcdaad896d9fde9d49eaa98866eef
- 9309c2833242182b592d253fcb19c15c625425f614bdd614d1ffbb54f5c25f9a
- c630b95cee017b3d2536074ead8278e5415a3e6ff9dc21cd88c59d5d3a11c6dc
- d80526421527f63d3b7fdf60b980b31871526c905f9d6d0f4f3c1073b42773ba
- e3b916c2bd7c09a9ecb3737be615b8f4560f1bde495506e3ff67b839a65054b9
- f0b356b8485b2656da8ae4ecd13b64166da3c446bc0be124aad216b8688aa618
- fd791cae012145402c8fb903fbe29a91f56cd1c0a3e98203241701dc5f456d83