FRwL APT IOCs

CERT-UA приняты меры по исследованию инцидента информационной безопасности, результатом которого стало нарушение целостности и доступности информации в результате применения вредоносного программного обеспечения Somnia.

Ответственность за несанкционированное вмешательство в работу автоматизированных систем и электронно-вычислительных машин объекта атаки взяла на себя группировка FRwL (aka Z-Team).

В рамках исследования выяснено, что начальная компрометация произошла в результате загрузки и запуска файла, имитирующего программное обеспечение "Advanced IP Scanner", но, на самом деле, содержащего вредоносное программное обеспечение Vidar.

CERT-UA предполагают, что тактика создания копий официальных веб-ресурсов и распространения вредоносных программ под видом популярных программных продуктов является прерогативой так называемых брокеров начального доступа (initial access broker). В случае конкретно рассматриваемого инцидента, учитывая очевидную принадлежность похищенных данных украинской организации, соответствующий брокер осуществил передачу скомпрометированных данных преступной группировке FRwL с целью дальнейшего использования для осуществления кибератаки.

Следует обратить внимание, что стилер Vidar, среди прочего, осуществляет похищение данных сессии Telegram, что, при отсутствии настроенной двухфакторной аутентификации и пасс-кода, позволяет получить несанкционированный доступ к учетной записи соответствующей жертвы.

Как было выяснено, Telegram жертвы использовался для передачи пользователям конфигурационных файлов VPN-подключения (в том числе, сертификатов и аутентификационных данных). Учитывая отсутствие двухфакторной аутентификации при установлении VPN-соединения, злоумышленники получили возможность несанкционированного подключения к корпоративной сети.

Получив удаленный доступ к компьютерной сети организации с помощью VPN, злоумышленники провели разведку (в частности, применили Netscan), выполнили запуск программы Cobalt Strike Beacon, а также осуществили эксфильтрацию данных, о чем свидетельствует использование программы Rсlone. Кроме этого, имеются признаки запуска Anydesk и Ngrok.

С учетом характерных тактик, техник и квалификации, начиная с весны 2022 года группой UAC-0118, при содействии других преступных группировок, причастных, в частности, к предоставлению начального доступа и передачи криптованных билдов программы Cobalt Strike Beacon, проведено несколько вмешательств в работу компьютерных сетей украинских организаций.

Заметим, что вредоносная программа Somnia также претерпела изменения. В первой версии программы использовался симметричный алгоритм 3DES. Во второй версии реализован алгоритм AES; при этом, учитывая динамичность ключа и вектора инициализации, эта версия Somnia, по теоретическому замыслу злоумышленников, не предусматривает возможности расшифровки данных.

Indicators of Compromise

IPv4

• 139.60.161.165
• 139.60.161.167
• 139.60.161.213
• 139.60.161.47
• 139.60.161.52
• 139.60.161.63
• 185.170.144.217
• 185.96.163.102
• 193.43.146.39
• 193.43.146.42
• 209.222.101.65
• 5.252.22.96
• 94.232.41.105
• 95.217.244.218

Domains

• advanced-ip-scaner.com.vuxuancuong.com
• advanced-ip-scanner.click
• advanced-ip-scanner.site
• agrikoz.com
• aluaadin.com
• arminext.com
• benokij.com
• fudupdate.com
• sinergil.com
• softloadup.com
• survefuz.com
• vinergil.com
• vuxuancuong.com
• zambeziz.com
• zbignef.com

URLs

• http://185.96.163.102:80
• http://193.43.146.42:80
• https://advanced-ip-scaner.com.vuxuancuong.com/
• https://advanced-ip-scanner.click/en/
• https://advanced-ip-scanner.site/en/
• https://advanced-ip-scanner.website/en/
• https://gofile.io/d/7KbRYr
• https://gofile.io/d/nycrb4
• https://mastodon.social/@ffolegg94
• https://onedrive.live.com/download?cid=E8A357DC635F5F11&resid=E8A357DC635F5F11!552&authkey=AN-tOu0N0SGFnpg
• https://store1.gofile.io/download/27a73fd4-a939-4a05-9c0e-54c0c5dfef3d/1.exe
• https://store3.gofile.io/download/939fad81-10ba-438e-b396-c2f42f209ab0/netscan_portable.7z
• https://store8.gofile.io/download/43571707-464b-40c8-bf5e-2d9e07c554b8/Somnia_07_08_22_with_FunnySomnia.exe
• https://store8.gofile.io/download/8b9f91c9-b770-4ed5-b60f-ec1dd5ca8b43/1.jpeg
• https://t.me/cheaptrains
• https://www.dropbox.com/s/26gri1ashi4rydb/Ip_scanner.zip?dl=1
• https://zambeziz.com/jquery-3.3.1.min.js

Emails

• franygreat@outlook.com

MD5

• 47cd55b63e8e90d8f49352396f76bed6
• 58c40d0ad81f25bcd68a5523d867eb34
• 638725d249839aaf29fa122dc7aeb41e
• 7a4ab857659a40a69c0d29650d991a79
• 93d7636729e908444ab21fb8213f809e
• abaca1fac308ce6627c1d823c410b174
• c7948d1ffab0d0a165c56c35e1ae320c
• c87261c139ecba1989a88e157a71e3af
• dc792b8e287f2f7ddea0469f26d88fb7

SHA256

• 06fe57cadb837a4e3b47589e95bb01aec1cfb7ce62fdba1f4323bb471591e1d2
• 100c5e4d5b7e468f1f16b22c05b2ff1cfaa02eafa07447c7d83e2983e42647f0
• 156965227cbeeb0e387cb83adb93ccb3225f598136a43f7f60974591c12fafcf
• 1e0facd62d1958ccf79e049270061a9fce3223f7986c526f6f3a93ef85180a72
• 1f4c5ab072f384b9adfafd35903c5b54b8a3ad167250728d0d400454300a4367
• 99cf5c03dac82c1f4de25309a8a99dcabf964660301308a606cdb40c79d15317
• ac5e68c15f5094cc6efb8d25e1b2eb13d1b38b104f31e1c76ce472537d715e08
• e449c28e658bafb7e32c89b07ddee36cadeddfc77f17dd1be801b134a6857aa9
• fbed7e92caefbd74437d0970921bfd7cb724c98c90efd9b6d0c2ac377751c9e5

File Paths

• %TMP%\text.exe
• C:\ProgramData\pe_https_x64_360_1.exe
• C:\ProgramData\VMware\VMware Tools\1.exe
• C:\Users\%USERNAME%\Downloads\1.exe
• C:\Users\%USERNAME%\Downloads\Ip_scanner.zip
• C:\Users\%USERNAME%\Downloads\Ip_scanner\Ip_scanner.exe
• C:\Users\Admin\source\repos\Somnia\FunnySomnia\obj\Release\FunnySomnia.pdb
• C:\Users\frwl\Desktop\netscan_portable\64-bit\netscan.exe
• C:\Users\frwl\Downloads\1.jpeg
• C:\Users\frwl\Downloads\netscan_portable.7z
• C:\Users\frwl\Downloads\Somnia_07_08_22_with_FunnySomnia.exe
• D:\FunnySomnia.exe

Registry entries

• HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\FunnySomnia