Украинские власти раскрыли кибер-кампанию UAC-0185 (UNC4221), направленную на украинский оборонный и промышленный секторы с помощью вредоносных электронных писем выдавая себя за Украинский союз промышленников и предпринимателей (УСПП). В рамках кампании используются фишинговые письма, содержащие вредоносные гиперссылки, ведущие на развертывание инструмента удаленного управления MeshAgent с целью кражи учетных данных и получения несанкционированного доступа к военным и корпоративным системам.
UAC-0185 (UNC4221) APT
4 декабря 2024 CERT-UA получила сообщения о фишинговых электронных письмах, отправленных под видом ULIE, рекламирующих конференцию по переходу продукции украинской оборонной промышленности на технические стандарты НАТО. продукции на технические стандарты НАТО. Эти письма содержали гиперссылку, при нажатии на которую загружался вредоносный LNK-файл, который Через mshta.exe запускался файл HTA. В файле HTA использовались команды PowerShell команды для загрузки и выполнения дополнительных файлов, включая ZIP архив с тремя компонентами: пакетным файлом (Main.bat), другим HTA-файлом (Registry.hta) и исполняемый файл (update.exe). Эта последовательность завершилась выполнением файла «update.exe», идентифицированного как MESHAGENT, инструмент удаленного управления. инструмент удаленного управления.
Indicators of Compromise
IPv4
- 136.243.237.26
- 146.59.102.122
- 176.57.212.217
- 185.158.248.104
- 185.225.35.75
- 193.203.202.168
- 217.144.102.219
- 217.151.229.29
- 45.147.179.185
- 46.30.44.144
- 5.181.156.72
- 62.113.110.100
Domains
- 212nj0b42w.web.telegram-account.host
- 658pvbhj2k7veemmv4.web.telegram-account.host
- accept-action.site
- account-guard.site
- account-saver.com
- account-viewer.com
- cancel-action.site
- cancel-auth.site
- check.sign-cert.com
- check-active.site
- cloud.account-viewer.com
- cloud.god-le.net
- clouddrive.world
- confirm.account-viewer.com
- confirmphone.site
- defender-bot.site
- delta.milgov.site
- derzhposluhy.com
- device.redirecl.com
- dhl.redirecl.com
- drive.redirecl.com
- drive-share.site
- emtserviceca.info
- get.god-le.com
- get.in-touc.com
- get.mail-gov.com
- get.sign-cert.com
- god-le.com
- god-le.net
- google.drive-share.site
- google.share-drive.site
- group.kropyva.site
- group.teneta.site
- group-invitation.site
- group-teneta.online
- in-touc.com
- i-ua.account-guard.site
- ivanti.account-viewer.com
- kropyva.group
- kropyva.site
- live.outloolc.com
- mail.outloolc.com
- mail-gov.com
- mail-gov.net
- mails.support
- milgov.host
- milgov.site
- mirotrent.com
- my.mail-gov.net
- odwebp.com
- outloolc.com
- palantir.ink
- passport-ukr-net.site
- plntr.account-viewer.com
- plntr.mirotrent.com
- protect-password.site
- qsrgh.site
- qweasdzx.site
- redirecl.com
- share-drive.site
- signal-confirm.site
- sign-cert.com
- spam.web-telegram.host
- stellar.account-viewer.com
- svc.odwebp.com
- teiegram.host
- telegram.check-active.site
- telegram.defender-bot.site
- telegram.qweasdzx.site
- telegram.token-defender.cloud
- telegram-account.host
- telegram-auth.website
- telegram-confirm.site
- telegramm-account.site
- teneta.group
- teneta.site
- token-defender.cloud
- uspp.derzhposluhy.com
- web.teiegram.host
- web.telegram-account.host
- web.telegramm-account.site
- web.web.telegram-account.host
- web-telegram.host
- whatsapp.group-invitation.site
- whatsapp.protect-password.site
- whatsapp-confirm.site
- www.accept-action.site
- www.confirm-signal.site
- www.google-drive.site
- www.protect-password.site
- www.qsrgh.site
- www.signal-confirm.site
- www.teiegram.host
- www.telegram-auth.website
- www.telegramm-account.site
URLs
- http://185.225.35.75:30555/cc
- http://cloud.account-viewer.com/tW018lIK/16_01.zip
- http://delta.milgov.site/
- http://device.redirecl.com/davwwwroot/downloads/lyst_02-1-437.lnk
- http://device.redirecl.com/yS558pd/start.hta
- http://get.god-le.com/Gm912cj/icon.png
- http://get.god-le.com/hS483kf/Dack.png
- http://get.god-le.com/hS483kf/Front.png
- http://group.teneta.site/
- http://group-teneta.online/
- http://kropyva.group/
- http://kropyva.group/qr
- http://live.outloolc.com/mail_inbox=a098m
- http://mail.outloolc.com/yS558pd/Back.png
- http://mail.outloolc.com/yS558pd/Front.png
- http://mirotrent.com:443
- http://plntr.account-viewer.com/xS43HI3D/Back.png
- http://plntr.account-viewer.com/xS43HI3D/Front.png
- http://plntr.account-viewer.com/xS43HI3D/logo.png
- http://plntr.mirotrent.com:443
- http://svc.odwebp.com:443/agent.ashx
- http://web.telegram-account.host/
- http://web.telegram-account.host/#/login
MD5
- 104cd6e96a9898462335b0e63766a983
- 34d1bd73883fd4b1709f4a41af70a192
- 490450f5d2f1cb617e02366bc389bb7b
- 4dbd1ced8da2a4acec15cfd9be73bfcc
- 4f8e66f060ea918637b5e2dfe7fff16d
- 5883b5f221a9cb9dcdb4d7be923d4d98
- 74f6bd1a80ebfeece1e65b441c2f46e2
- 7b7ccd7899b0b3b52398df45faf85078
- 80ad42b66b4fc841bfa4210e23a2e757
- 882e5e17793b84ba2705b0e296777635
- 92b698f674370120ec399ad47600477b
- 99a0a704c31e84b0e8cb04c0f5ac2746
- a5b1a7db7abf94163a2871d0d7359b49
- bbb96f2781bc16813af398d4a1c5867a
- c15e1d4892f10a62fec973d37805cc65
- e4d2f6d160ed8e4a2abd024dc9385ae1
SHA256
- 1ffcc81d9194d3f84c9056db6833c99182d0c47f501134cf11a7e20f76dd0833
- 44cdc03e755bf1e7e60b460ab70834f44f7e4e9cb28591ffab99ca1517687ab2
- 57f5d4e69fb409ca448dcf7c281e130c66aff37178c827c4bdd6eebace0145e4
- 6669f6cff75f27db3580ab76e4391245f8028c671198174a4ab0abbfc217f27c
- 689c7b5a63740593af5f931edccd04e5a0af4592f2159da1dc6ff9fb85724d6d
- 6c8ff9dde75352c94afac0045c6fecc5c27181a941c371d165be5dc6f167969c
- 6f4a305a1f5dbb11341986ad354aa5226afcb67b464d4914d9b3ec0c6cf7d887
- 71a27bc19cd4c3af587071d97afe205f1224f8a71d668683d1fba1969ea241a3
- 831548a4bf76e77acb9858fffd2bb9a03b210f04f2b615b916e1a086e5421202
- bf576d4fcbecdff07f71af2ace12cc53a2e03b16c464d4aefb393c4e719ddb17
- cb86993c83c30cd96c8b8fccd5236e5b5949ed400404c33ab74f173f7a9d53b9
- d2d5052b0c703a8b148aa6446d1a199aa59c590c5b534e45b03f1e8e74338c2b
- de66a95291321c8877b1c403357147d0c636c1e69f487579f8a2978a7ad7e2eb
- e763ba973e455e684cba6649461e41f488a4a041b23442846c82c532e3a78806
- ff9002de29b7037bcf2d496a04df98aea4e8f81f88edf409cb65173e3cc194bd