CERT-UA обнаружено несколько вредоносных файлов со специфическими названиями: "Вниманию.doc", "17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc", "замечания таблица 20.06.2022.doc", "О_формировании_проекта_ПНС_2022_файл_отображен.doc"
Упомянутые RTF-документы содержат вредоносный код, обеспечивающий эксплуатацию одной или нескольких известных уязвимостей в MS Office Word (вероятно, документы созданы с помощью билдера RoyalRoad). Как результат, компьютер жертвы будет поражен вредоносной программой Bisonal (в одном из случаев используется загрузчик QuickMute).
По данным исследователей киберугроз, использование билдера RoyalRoad является одним из характерных признаков для связывающих с Китаем группировок. Более того, вредоносная программа Bisonal как пример является инструментом группы TontoTeam (UAC-0018). Ввиду изложенного целесообразно предположить, что группы, ассоциирующие с КНР, активизировали деятельность в отношении российской федерации (предприятия научно-технической, авиационной отрасли, а также государственные органы).
QuickMute – вредоносная программа, разработанная с использованием языка программирования C/C++. Функционально обеспечивает загрузку, RC4-дешифровку и in-memory запуск пейлоада (ожидает PE-файл с экспортной функцией "HttpsVictimMain"). Для коммуникации с сервером управления предусмотрено использование ряда протоколов, включая TCP, UDP, HTTP, HTTPS.
Indicators of Compromise
IPv4
- 137.220.176.165
Domains
- upportteam.lingrevelat.com
- lingrevelat.com
URLs
- https://upportteam.lingrevelat.com/update/v32/default
- https://upportteam.lingrevelat.com
MD5
- 001b53acfab523dc060d38d73d63feef
- 2342bdd79ea84c4fa1b59d224f5a534e
- 2f6d6e783d0c0cbe237714dd34d68e73
- 518439fc23cb0b4d21c7fd39484376ff
- 67bfa75dbc39ab88da995c21565d05ca
- 80987dcdb36e7cb52bb03f00261aa2bd
- 83b8d4462566a23298ca38c418eeccde
- 8cdd56b2b4e1e901f7e728a984221d10
- b8387fc571a8e79efab3e2cc343aae24
SHA256
- 0f704f3ab4a3ec30656dab6094c582b1089cbc8fcba280cadf3c7a651aeaacc3
- 7944fa9cbfef2c7d652f032edc159abeaa1fb4fd64143a8fe3b175095c4519f5
- 7970393e506934e9304f1d18ced34b86ef04a0d278d8e3cdb4b0064caee73846
- 7bfb283ee5c283ac6ebae718edb6ed340ab986a095ebab8c13ae828bffbaef9d
- c2ba362693aad8686f79822712c3871f0da1570465578843f5d73c70db07e631
- c7018ee3783f4b2fb19fedc78c59586390efa1b72c907867794bf42141eb767c
- d79dcb90dfc01723f8df5628f502352c6f922187d3ef5942a6e8465552f40edf
- f76f3277385195c27fdf2f90a01a8dd70bd05d92ab70696a6e6d7b0d5fb8e70c
- f87b327dd7a3608fec6c0b0bb3486cc8c9b52271fdb3dc0b07229be116ca3786