CERT-UA зафиксировала атаку на государственных организаций Украины, используя тему ОК "Південь" и программу AgentTesla.
CERT-UA выявила файл «Report_050722_4.ppt», который содержит изображения-миниатуру, в котором упоминается оперативная команда «Південь».
В случае документа и активации макроса последнее обеспечит создание файлов «gksg023ig.lnk» и «sgegkseg23mjl.exe», а также выполнение файла LNK с использованием Rundll32.exe, который, в свою очередь , приведет к запуску упомянутого файла EXE.
Исполняемый файл представляет собой .NET-Program, обфусцированную с помощью CONSUSSERX, который загружает файл JPEG "TUMB_D_D_F3D14F4982A256B56B56BDAE9BD579429429429A7.jpg", поиск соответствующего смещения и думпера. -07-08).
В будущем, после серии преобразований (GZIP, AES, BASE64, XOR), в том числе с использованием стеганографии, дата компиляции: 2022-07-06.
Учитывая имя и содержание документа PPT, мпредпологается, что атака была направлена на государственные организации Украины.
Indicators of Compromise
Domains
- ftp.artrsllc.com
- onyangdol.site
URLs
- https://onyangdol.site/thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg
- ftp://ftp.artrsllc.com/
MD5
- 5675473bb46fad83c92865c9c6afbd5e
- c71f41f71e0beea474049af497eae7b7
- 88c2f95bb1e008e2952799a427ab8492
- 24a95b0c3d0bab9451e49ebd2a95efb4
- 050a2254623b88bdd5d171715542bee1
- 3249773213e0a41ed4d49174ad651f28
SHA256
- 00fdb03518c238dc649a39e94f0bcc95dacf3b832979d14d0ed5194b9b482b87
- cffc6a854632d979e3c12d4c29835490229db79909b18010d3dbaabbb89ad2cc
- bc92a5b1c4205ea1fbfec9144b8aab485e095142c7105c9d616b089ec668f198
- c40e6b176ad3fd7332cd217191e557352ef4b82bf91f29939121267598737990
- 8a9262fecbb58364982f38bdefd44336005632079e254e6f82693050fa29c403
- 664723f55237e2d14b39938878fd0a3744cc808d4d3e67e22f1bcbd410960557
File path
- %APPDATA%\Microsoft\sgegkseg23mjl.exe
- %TMP%\gksg023ig.lnk