28 октября 2024 года CERT-UA сообщила о масштабной фишинговой кампании с использованием электронных писем с налоговой тематикой и поддельными вложениями, имитирующими запросы от Государственной налоговой службы Украины. Эта финансово мотивированная деятельность, приписываемая группе угроз UAC-0050, направлена на то, чтобы обмануть бухгалтеров предприятий, особенно тех, кто работает с системами удаленного банковского обслуживания, и предоставить им несанкционированный удаленный доступ к своим системам.
Описание
Фишинговые письма, распространяемые UAC-0050, содержат PDF-вложения со ссылками на внешние файлообменные сайты (qaz.im, qaz.is, qaz.su), где получатели скачивают архив под названием «dps_tax_gov_ua_0739220983.rar». Через несколько уровней вложенных файлов, защищенных паролем, конечный исполняемый файл запускает фиктивный налоговый документ, при этом незаметно устанавливая инструмент удаленного управления LITEMANAGER, предоставляя злоумышленникам скрытый доступ к устройству жертвы. Это позволяет UAC-0050 совершить финансовую кражу в течение часа после первоначальной компрометации, используя слабый контроль доступа к системам, используемым для финансовых операций.
Indicators of Compromise
IPv4
- 109.71.247.168
- 111.90.140.76
- 31.214.157.49
- 65.21.245.7
- 91.240.86.200
IPv4 Port Combinations
- 111.90.140.76:465
- 111.90.140.76:5651
- 111.90.140.76:80
- 111.90.140.76:8080
- 65.21.245.7:5555
- 65.21.245.7:80
- 91.240.86.200:5651
Domains
- dpsu-gov-ua.com
- qaz.im
- qaz.is
- qaz.su
- tax-gov-ua.com
Emails
MD5
- 022e4f9264de631dc9f110e364b71803
- 0b26323458df31883f449fc7e1b9ec21
- 0c88f651eea7ebd95df08f6a492fcb38
- 164ee1756f163cf52327fee72af5f036
- 17262eb723b6485428a0e2ae0f70925c
- 2d11dba46735af1cb1c0a42e9564e20d
- 38076f234516da9a8000988cacc5f960
- 61f03edcac487c38e350d5588fb3cc5c
- 63d0964168b927d00064aa684e79a300
- 6aa307c14a33d1cf42cb001094948cff
- 73daa8f59401faddc505eb585ae1905b
- 7827620ba2cd12d54b41c006ba4d686c
- 782e7ab334750d426a699cbdb56b33f5
- 814afeac565d4f19d74f632c2c56ed59
- 94391b5ded68319abaa7511b25e3661d
- af99c4959022d4efe39e6a8c1366ff79
- b49e39cac948aead65a7d385aea27c1c
- b612a4ad72e0f2750e109dd7d37e1b83
- c85fa3f914fc88ea0b45c0f4c1e21487
- d2f43c8fd61d59e97efcb05859d8de34
- d58227322a36679e15c3f7a047572390
- dae6abde806d805ded62d1f271ad338d
- e191879545f38723eb1e430d51bee3bb
- e8bffc1d7474125c5576862f5c85e975
- f3d74b072b9697cf64b0b8445fdc8128
SHA256
- 04eb0155f783c00b687df1e4b3bf12768023a94de4bba64787efc852eed9d52f
- 0fa3f29ce1a2f209ddd198c05e16fc5c5438e8dd6e3b6b454f14f47860dc3ca4
- 33d1a34fec88ce59beb756f5a274ff451caf171a755aae12b047e678929e8023
- 562d355dbae4d8b8ae8e265544c516046dcce8b61a1f3734e1724ada707ea87d
- 6cf66bd337ce18da2a2a8b5c780ec13c99eb37bb161ab751ab119ff2df5a4654
- 70186f0710d1402371ce2e6194b03d8a153443cea5ddb9fc57e7433cce96ae02
- 788f5102573d9d3aa0131d6bd01ade10beea12a0341d32c4699d876cdbe47188
- 7c8b6d911d1357202da47e2e3e9d3b9e3dc81946517a3ad49ca960a6317050ac
- 7cc0ae872de2d1671a87020e66111aa67a978774f2c57144d2ff31570776ea3d
- 7d2f4e61bd5be745eb43d09e66674ae7f99b0da8ab4f939d0c853b0f9144c9ba
- 814f63e71da29a50b68e549f8972b06eaf0c7a56612698ce23999a47fc1ece7c
- 8482a4e747261872eb3aec168f49ee54a09101d800a6a2227bd499fc5698e842
- 873196955c89a74390cb9c3086f776a5dd8908880b2508554fedb02b07bb3486
- 98fea4020b66280fd85421b2d5aa9a5e2776e2d5432706d731a86efa4468b7fc
- 9ab1f67b51466f3721d84cf8065db6722e451b4cbd2c98f0afea2cbf6353db8f
- 9daa46f8d84b0e65e2d5fdf7fcd80ff6ca922278c32a2b5c9425c0c5ef7d2096
- 9f678c529e6a46f3cb2e5213932c5e235ac806ee064dd23336170e32ba29f5f9
- a1faae4e2b695c7df3846179192f4e67bd8dd05e7e5c6d0b4b72db175f629076
- a7182d7c401e1da60d5fbb4be92e9a29183327c614fce19efcc9565eeccd5d2c
- b41c6ce12344d4cbf916f4e57c82fe2426535be9befea6d622d861795eaede50
- e19477a56b247e6cc435fee367abcf6e0c3db21de91ae2514b4a6b1807233c53
- e47fae290d2b2f2e2a8bf7711f57937d539016f411fce3c72dc0d5964d022b14
- edb9f3b761ad3671f0637e105bae6fafb5123798e8d676f950fae4c5104517ee
- ee61facd8602f6b43a88f9a198434a1a19c7c430750fb14457bbab7c76ce44a9
- f7775c7285263fcddf9d5a0a40b0ced69fbffd520643d2e25a22d8f86ce3c816