CERT-UA выявлен факт массового распространения электронных писем по темам "Інформаційний бюлетень", "Бойове розпорядження", в том числе, якобы, от Национальной академии СБ Украины. При этом электронные письма рассылаются на частные электронные адреса объектов атаки.
В приложении к письму находится HTM-дропер, открытие которого приведет к созданию на компьютере RAR-архива, например "22_07_2022.rar". Последний содержит LNK-файл с релевантным для жертвы названием, например, "Информационный бюллетень Департамента контрразведки Службы безопасности Украины от 22 июля 2022 года.lnk", а запуск файла-ярлыка приведет к загрузке и выполнению HTA-файла.
Указанный HTA-файл может содержать VBScript-код, который с помощью PowerShell осуществит декодирование и запуск вредоносного приложения GammaLoad.PS1_v2.
Злоумышленники пытаются избежать DNS-резолвов доменных имен серверов управления, для чего с целью получения A-записей (IP-адресов) используются сторонние сервисы, например: hxxps://cloudflare-dns[.]com/dns-query , hxxps://whoer[.]net/ru/checkwhois и другие.
Armageddon APT
Indicators of Compromise
Domains
- a0695487.xsph.ru
- a0698262.xsph.ru
- a0698649.xsph.ru
- fishitor.ru
- leonardis.ru
- mail-box.site
- fast-mail.site
- your-mail.press
URLs
- http://159.223.218.10/index.php
- http://164.92.166.107/index.php
- http://194.67.87.33/CCLEANER123.db?=detachment
- http://45.63.114.110/index.php
- http://a0695487.xsph.ru/banisters/guess.xml
- http://a0695487.xsph.ru/relationship/preservation.xml
- http://a0698262.xsph.ru/quickly/neville.xml
- http://a0698262.xsph.ru/see/guilty.xml
- http://a0698649.xsph.ru/nervous/Queen.xmlc5977405d69f735f746354175b53f12c
- http://a0698649.xsph.ru/reliance/grudge.xml
- http://a0698649.xsph.ru/selection/headache.xml
- https://t.me/s/topnewsas
- https://whoer.net/ru/checkwhois
Emails
- visnik-ssu@mail-box.site
- dnipro@fast-mail.site
- visnik-ssu@your-mail.press
MD5
- 1fc26cefdaa10012be05c6252033b773
- 2b333fc9d4ad9eed100a3644d40b4755
- 3d822040f77a2027643d37c063022751
- 419861397bb302c1e6b663d26982e578
- 4489ab1c55dd32ea26528d97897e71ba
- 5c70578e4250274b92c9618abe59b238
- 5dbb7b2c33635478a369b8fd40e2d8b3
- 680a5bcbe5b068ee433c5bc35cde5d40
- 8906218a0149a9ea8bffd7619b43a2c1
- 903f87bef3f32d010deed6de78d1ade9
- 91e4483615813398e61a7bef46c1e005
- 9c73bd03e4c5d9796e9807c036ad51e1
- a407ac0d454724527b6f8da72f9ee1c0
- b307698a3b5134ea0708ed2222fb42f2
- b8182f549d6b08b8fe0e58f9d5292650
- b8aa1ca84adea55dcc0244ff12975400
- c1c7da54905571a002b467109e56d423
- c57bd947e15a858f629979c8390d3414
- c5da0a4385b07aa63432005b7359d3d0
- c7e81154fd9906fdd91f9053a24b19ce
- c88ce71fafbbccb1a8b3e5f9f8e8b771
- e96bd54cc8c9b26fa5020fe55ef4d25f
- ee3661a8a6a1acf33e53f52a1e3a5533
- f459762a57d192d6a01c0177643fea28
SHA256
- 0608ae0f28510591798a1603adabde86a9dbd67e1bfb1713c3f397d0d1a306d1
- 07323a7ecf084a1bb6cb81505dfd934c2706491053664588b3b5b065e3fb46f1
- 22d1fe7676b26480e7d47b48dc19d9b3959662fb2c94fb06d2d3d170a31ea53f
- 315fdf6913cdcc1b94d3a43df12943164c8f30b89fbd69ccf8a254ca8d2de35a
- 3e027bfad251a13b4765801cfa31692bdc057493061e04496c3e2667d8aee94c
- 47c10e67cc06c99a1d5e1f7f1f60cd516b8445df53419517e0e1f2bfdcab3e18
- 508040716bb3d3f58fa6b58dd3ee52343f1a228f79d374e80e79751c8f446fc0
- 5a4b20a44ca8a10c9536ec2119593b22a57537cd9dbc6027d476fd2e74e0702e
- 6c6d1465de0e045399731440df5b54fdd91d50b4ddf8244bec62c1883b40bc35
- 7cca81a2e043e2a87cda812275e1817a6f35ede75d83f76bad8f7ffa6f7e6f18
- 811860d330b9335e4c0083c7d4121969b59d8b7dc475819310d894d7572cea6e
- 82a696d8f21ba738c0af474061c79584fefcfea5627b221b78a24fcf94dd1f2e
- 84561b3db51327b059bbbab02a3d93d9fb89d5de080cbb8ebeaef7d5365f2700
- 8e61bacc1d524885ea5f0bcdaabbfd56c2234ea62c10a9442d65444cab934847
- 9569b0d2bd15beb7ae6ec17a3fb656f016693971d12c8d38b4de998c320550ff
- 980181feb0b5844036f2c99007cbe4bf9fb3ef2af940d5d8d7b957debad20b95
- 98328773322c3bcec11105d7411bdde27f6663f33e01dae32a429226138e86b6
- 9d1dc7f559272903b9e3b35ed410862260e42fe4058b21750b27d68e8f229859
- ab7e2bb12bf98a022bfb239c55a514af6c6fcfe8c7c92ab77fc97a50a3126284
- af874c478a939641b21b96688855c4bc663797e6ba4af4f60f8fa1b6c1428d2e
- b11f450a395ea22a71a5fd7f381783ec9e5639f68796b6a0a200ec8904ebcdad
- bea69eac34c2b42108c857031e5c25fe9313ed64c22ff2fc95f30504da4c5424
- d530343732d149b5d681b54e83394211fd9e811b5ca88b1c23c132593605d661
- de9051d876961d2eebdeb4a2b0dbbc1da50f941cd638eb0aeaaacc4d3858f8dd
- ef0ee60ccfb9418fea42c62aec3b7450cb4c14f15baf8b81139ccd4086a7c288