CERT-UA с 07.11.2022 фиксируются рассылки электронных писем, якобы, от имени Госспецсвязи, с вредоносной ссылкой. В случае перехода по ссылке на ЭВМ будет загружен HTML-файл, содержащий JavaScript-код, который обеспечит создание на компьютере жертвы RAR-архива, например "08.11.2022.rar".
Упомянутый архив содержит файл-ярлык "Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk", открытие которого приведет к загрузке и запуску HTA-файла, что, в свою очередь, повлечет создание запланированной задачи и дальнейший запуск VBScript-кода. Наконец, на компьютер будут загружены другие вредоносные программы, в том числе, для похищения файлов.
Рассылка электронных писем осуществляется с помощью сервиса @mail.gov.ua. Кроме того, как и раньше, для определения IP-адреса сервера управления используется либо сторонний сервис (cloudflare-dns[.]com) или Telegram.
Armageddon APT IOCs
Indicators of Compromise
IPv4
- 154.111.181.171
- 173.199.90.103
- 45.32.171.4
Domains
- ardeas.ru
- arhiv.ua-cip.org
- civh.ru
- hilr.ru
- info-cip.org
- rubidiumo.ru
- shapurt.ru
- tzi.info-cip.org
- ua-cip.org
URLs
- http://arhiv.ua-cip.org/08.11.2022.arhiv
- http://tzi.info-cip.org/07_11_2022.xhtml
- https://civh.ru/08.11/band.rtf
- https://cloudflare-dns.com/dns-query?name=
- https://hilr.ru/07.11/growth.rtf
- https://hilr.ru/07.11/sent.rtf
- https://t.me/s/vozmoz2
Emails
- 08362793@mail.gov.ua
MD5
- 0ede5c6f925b4ef08446c063c4805ff9
- 146694cdc0e529bb175741c8331fcbda
- 1af530c3daa10a6a9ad973bd7e1904ed
- 3864263b8b3d86a1f6861b15c646aab0
- 3adbc03f755a67fea42b6ca96b594237
- 5f2d3f456eb549f31afa372d1a877152
- 85dc81ba98e7ba81b00c3f4554e23f41
- a19a7f22e599b4ff9a30d8917a801ffb
- ab8600c3150ff6a5a803130438fdfae9
- c1074dbc69079bc44f517c5a2092f05e
- d67119d10668cd3f78ec2abefc6713d4
SHA256
- 1281abff0809bbb1de56bed6f5ebfa111c3c42918732ededae63b76007364582
- 424a9224b2f1a462a5de7222b98e1a95205e5bdad8beae892309be3ad4279363
- 53f472e9a3d3471a76f13d12417229d23efd11b047353db8b71793feacafb029
- 704a6ade1ad9ccb52ff52ae86ca0bce068f14134bd4f1ab6f7506b3f201ba55b
- 8badadda788a53549ec889f648f3c85354c1765c7a2d8acfbcfc69aa3002e933
- 94a2b39e00ff03061093cce7ead1aab677c939400428a37a00bf89333655ba82
- 95b67d3bb530bf9ce98fa017ec2270176977a775e013df4db2038257ca6d17c3
- aafde3c78194495c57066b8e6219da1caab9031da1b22f9dc6deef14ac3b5cfc
- b27b901f363304a188348880df278af5954b288b5c614c3b85e7e1d8057cf3a1
- c4d44834436baf347f01ac66f7e04e73bc1cb44cd938bd2992bcb11fef958801
- fe37eae9986ad6d9a1709aa2993e13965d1bd9f0b7733c0a09c2b36531c31086