CERT-UA приняты меры по исследованию инцидента информационной безопасности, результатом которого стало нарушение целостности и доступности информации в результате применения вредоносного программного обеспечения Somnia.
Ответственность за несанкционированное вмешательство в работу автоматизированных систем и электронно-вычислительных машин объекта атаки взяла на себя группировка FRwL (aka Z-Team).
В рамках исследования выяснено, что начальная компрометация произошла в результате загрузки и запуска файла, имитирующего программное обеспечение "Advanced IP Scanner", но, на самом деле, содержащего вредоносное программное обеспечение Vidar.
CERT-UA предполагают, что тактика создания копий официальных веб-ресурсов и распространения вредоносных программ под видом популярных программных продуктов является прерогативой так называемых брокеров начального доступа (initial access broker). В случае конкретно рассматриваемого инцидента, учитывая очевидную принадлежность похищенных данных украинской организации, соответствующий брокер осуществил передачу скомпрометированных данных преступной группировке FRwL с целью дальнейшего использования для осуществления кибератаки.
Следует обратить внимание, что стилер Vidar, среди прочего, осуществляет похищение данных сессии Telegram, что, при отсутствии настроенной двухфакторной аутентификации и пасс-кода, позволяет получить несанкционированный доступ к учетной записи соответствующей жертвы.
Как было выяснено, Telegram жертвы использовался для передачи пользователям конфигурационных файлов VPN-подключения (в том числе, сертификатов и аутентификационных данных). Учитывая отсутствие двухфакторной аутентификации при установлении VPN-соединения, злоумышленники получили возможность несанкционированного подключения к корпоративной сети.
Получив удаленный доступ к компьютерной сети организации с помощью VPN, злоумышленники провели разведку (в частности, применили Netscan), выполнили запуск программы Cobalt Strike Beacon, а также осуществили эксфильтрацию данных, о чем свидетельствует использование программы Rсlone. Кроме этого, имеются признаки запуска Anydesk и Ngrok.
С учетом характерных тактик, техник и квалификации, начиная с весны 2022 года группой UAC-0118, при содействии других преступных группировок, причастных, в частности, к предоставлению начального доступа и передачи криптованных билдов программы Cobalt Strike Beacon, проведено несколько вмешательств в работу компьютерных сетей украинских организаций.
Заметим, что вредоносная программа Somnia также претерпела изменения. В первой версии программы использовался симметричный алгоритм 3DES. Во второй версии реализован алгоритм AES; при этом, учитывая динамичность ключа и вектора инициализации, эта версия Somnia, по теоретическому замыслу злоумышленников, не предусматривает возможности расшифровки данных.
Indicators of Compromise
IPv4
- 139.60.161.165
- 139.60.161.167
- 139.60.161.213
- 139.60.161.47
- 139.60.161.52
- 139.60.161.63
- 185.170.144.217
- 185.96.163.102
- 193.43.146.39
- 193.43.146.42
- 209.222.101.65
- 5.252.22.96
- 94.232.41.105
- 95.217.244.218
Domains
- advanced-ip-scaner.com.vuxuancuong.com
- advanced-ip-scanner.click
- advanced-ip-scanner.site
- agrikoz.com
- aluaadin.com
- arminext.com
- benokij.com
- fudupdate.com
- sinergil.com
- softloadup.com
- survefuz.com
- vinergil.com
- vuxuancuong.com
- zambeziz.com
- zbignef.com
URLs
- http://185.96.163.102:80
- http://193.43.146.42:80
- https://advanced-ip-scaner.com.vuxuancuong.com/
- https://advanced-ip-scanner.click/en/
- https://advanced-ip-scanner.site/en/
- https://advanced-ip-scanner.website/en/
- https://gofile.io/d/7KbRYr
- https://gofile.io/d/nycrb4
- https://mastodon.social/@ffolegg94
- https://onedrive.live.com/download?cid=E8A357DC635F5F11&resid=E8A357DC635F5F11!552&authkey=AN-tOu0N0SGFnpg
- https://store1.gofile.io/download/27a73fd4-a939-4a05-9c0e-54c0c5dfef3d/1.exe
- https://store3.gofile.io/download/939fad81-10ba-438e-b396-c2f42f209ab0/netscan_portable.7z
- https://store8.gofile.io/download/43571707-464b-40c8-bf5e-2d9e07c554b8/Somnia_07_08_22_with_FunnySomnia.exe
- https://store8.gofile.io/download/8b9f91c9-b770-4ed5-b60f-ec1dd5ca8b43/1.jpeg
- https://t.me/cheaptrains
- https://www.dropbox.com/s/26gri1ashi4rydb/Ip_scanner.zip?dl=1
- https://zambeziz.com/jquery-3.3.1.min.js
Emails
- franygreat@outlook.com
MD5
- 47cd55b63e8e90d8f49352396f76bed6
- 58c40d0ad81f25bcd68a5523d867eb34
- 638725d249839aaf29fa122dc7aeb41e
- 7a4ab857659a40a69c0d29650d991a79
- 93d7636729e908444ab21fb8213f809e
- abaca1fac308ce6627c1d823c410b174
- c7948d1ffab0d0a165c56c35e1ae320c
- c87261c139ecba1989a88e157a71e3af
- dc792b8e287f2f7ddea0469f26d88fb7
SHA256
- 06fe57cadb837a4e3b47589e95bb01aec1cfb7ce62fdba1f4323bb471591e1d2
- 100c5e4d5b7e468f1f16b22c05b2ff1cfaa02eafa07447c7d83e2983e42647f0
- 156965227cbeeb0e387cb83adb93ccb3225f598136a43f7f60974591c12fafcf
- 1e0facd62d1958ccf79e049270061a9fce3223f7986c526f6f3a93ef85180a72
- 1f4c5ab072f384b9adfafd35903c5b54b8a3ad167250728d0d400454300a4367
- 99cf5c03dac82c1f4de25309a8a99dcabf964660301308a606cdb40c79d15317
- ac5e68c15f5094cc6efb8d25e1b2eb13d1b38b104f31e1c76ce472537d715e08
- e449c28e658bafb7e32c89b07ddee36cadeddfc77f17dd1be801b134a6857aa9
- fbed7e92caefbd74437d0970921bfd7cb724c98c90efd9b6d0c2ac377751c9e5
File Paths
- %TMP%\text.exe
- C:\ProgramData\pe_https_x64_360_1.exe
- C:\ProgramData\VMware\VMware Tools\1.exe
- C:\Users\%USERNAME%\Downloads\1.exe
- C:\Users\%USERNAME%\Downloads\Ip_scanner.zip
- C:\Users\%USERNAME%\Downloads\Ip_scanner\Ip_scanner.exe
- C:\Users\Admin\source\repos\Somnia\FunnySomnia\obj\Release\FunnySomnia.pdb
- C:\Users\frwl\Desktop\netscan_portable\64-bit\netscan.exe
- C:\Users\frwl\Downloads\1.jpeg
- C:\Users\frwl\Downloads\netscan_portable.7z
- C:\Users\frwl\Downloads\Somnia_07_08_22_with_FunnySomnia.exe
- D:\FunnySomnia.exe
Registry entries
- HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\FunnySomnia