FRwL APT IOCs

security IOC

CERT-UA приняты меры по исследованию инцидента информационной безопасности, результатом которого стало нарушение целостности и доступности информации в результате применения вредоносного программного обеспечения Somnia.

Ответственность за несанкционированное вмешательство в работу автоматизированных систем и электронно-вычислительных машин объекта атаки взяла на себя группировка FRwL (aka Z-Team).

В рамках исследования выяснено, что начальная компрометация произошла в результате загрузки и запуска файла, имитирующего программное обеспечение "Advanced IP Scanner", но, на самом деле, содержащего вредоносное программное обеспечение Vidar.

CERT-UA предполагают, что тактика создания копий официальных веб-ресурсов и распространения вредоносных программ под видом популярных программных продуктов является прерогативой так называемых брокеров начального доступа (initial access broker). В случае конкретно рассматриваемого инцидента, учитывая очевидную принадлежность похищенных данных украинской организации, соответствующий брокер осуществил передачу скомпрометированных данных преступной группировке FRwL с целью дальнейшего использования для осуществления кибератаки.

Следует обратить внимание, что стилер Vidar, среди прочего, осуществляет похищение данных сессии Telegram, что, при отсутствии настроенной двухфакторной аутентификации и пасс-кода, позволяет получить несанкционированный доступ к учетной записи соответствующей жертвы.

Как было выяснено, Telegram жертвы использовался для передачи пользователям конфигурационных файлов VPN-подключения (в том числе, сертификатов и аутентификационных данных). Учитывая отсутствие двухфакторной аутентификации при установлении VPN-соединения, злоумышленники получили возможность несанкционированного подключения к корпоративной сети.

Получив удаленный доступ к компьютерной сети организации с помощью VPN, злоумышленники провели разведку (в частности, применили Netscan), выполнили запуск программы Cobalt Strike Beacon, а также осуществили эксфильтрацию данных, о чем свидетельствует использование программы Rсlone. Кроме этого, имеются признаки запуска Anydesk и Ngrok.

С учетом характерных тактик, техник и квалификации, начиная с весны 2022 года группой UAC-0118, при содействии других преступных группировок, причастных, в частности, к предоставлению начального доступа и передачи криптованных билдов программы Cobalt Strike Beacon, проведено несколько вмешательств в работу компьютерных сетей украинских организаций.

Заметим, что вредоносная программа Somnia также претерпела изменения. В первой версии программы использовался симметричный алгоритм 3DES. Во второй версии реализован алгоритм AES; при этом, учитывая динамичность ключа и вектора инициализации, эта версия Somnia, по теоретическому замыслу злоумышленников, не предусматривает возможности расшифровки данных.

Indicators of Compromise

IPv4

  • 139.60.161.165
  • 139.60.161.167
  • 139.60.161.213
  • 139.60.161.47
  • 139.60.161.52
  • 139.60.161.63
  • 185.170.144.217
  • 185.96.163.102
  • 193.43.146.39
  • 193.43.146.42
  • 209.222.101.65
  • 5.252.22.96
  • 94.232.41.105
  • 95.217.244.218

Domains

  • advanced-ip-scaner.com.vuxuancuong.com
  • advanced-ip-scanner.click
  • advanced-ip-scanner.site
  • agrikoz.com
  • aluaadin.com
  • arminext.com
  • benokij.com
  • fudupdate.com
  • sinergil.com
  • softloadup.com
  • survefuz.com
  • vinergil.com
  • vuxuancuong.com
  • zambeziz.com
  • zbignef.com

URLs

  • http://185.96.163.102:80
  • http://193.43.146.42:80
  • https://advanced-ip-scaner.com.vuxuancuong.com/
  • https://advanced-ip-scanner.click/en/
  • https://advanced-ip-scanner.site/en/
  • https://advanced-ip-scanner.website/en/
  • https://gofile.io/d/7KbRYr
  • https://gofile.io/d/nycrb4
  • https://mastodon.social/@ffolegg94
  • https://onedrive.live.com/download?cid=E8A357DC635F5F11&resid=E8A357DC635F5F11!552&authkey=AN-tOu0N0SGFnpg
  • https://store1.gofile.io/download/27a73fd4-a939-4a05-9c0e-54c0c5dfef3d/1.exe
  • https://store3.gofile.io/download/939fad81-10ba-438e-b396-c2f42f209ab0/netscan_portable.7z
  • https://store8.gofile.io/download/43571707-464b-40c8-bf5e-2d9e07c554b8/Somnia_07_08_22_with_FunnySomnia.exe
  • https://store8.gofile.io/download/8b9f91c9-b770-4ed5-b60f-ec1dd5ca8b43/1.jpeg
  • https://t.me/cheaptrains
  • https://www.dropbox.com/s/26gri1ashi4rydb/Ip_scanner.zip?dl=1
  • https://zambeziz.com/jquery-3.3.1.min.js

Emails

  • franygreat@outlook.com

MD5

  • 47cd55b63e8e90d8f49352396f76bed6
  • 58c40d0ad81f25bcd68a5523d867eb34
  • 638725d249839aaf29fa122dc7aeb41e
  • 7a4ab857659a40a69c0d29650d991a79
  • 93d7636729e908444ab21fb8213f809e
  • abaca1fac308ce6627c1d823c410b174
  • c7948d1ffab0d0a165c56c35e1ae320c
  • c87261c139ecba1989a88e157a71e3af
  • dc792b8e287f2f7ddea0469f26d88fb7

SHA256

  • 06fe57cadb837a4e3b47589e95bb01aec1cfb7ce62fdba1f4323bb471591e1d2
  • 100c5e4d5b7e468f1f16b22c05b2ff1cfaa02eafa07447c7d83e2983e42647f0
  • 156965227cbeeb0e387cb83adb93ccb3225f598136a43f7f60974591c12fafcf
  • 1e0facd62d1958ccf79e049270061a9fce3223f7986c526f6f3a93ef85180a72
  • 1f4c5ab072f384b9adfafd35903c5b54b8a3ad167250728d0d400454300a4367
  • 99cf5c03dac82c1f4de25309a8a99dcabf964660301308a606cdb40c79d15317
  • ac5e68c15f5094cc6efb8d25e1b2eb13d1b38b104f31e1c76ce472537d715e08
  • e449c28e658bafb7e32c89b07ddee36cadeddfc77f17dd1be801b134a6857aa9
  • fbed7e92caefbd74437d0970921bfd7cb724c98c90efd9b6d0c2ac377751c9e5

File Paths

  • %TMP%\text.exe
  • C:\ProgramData\pe_https_x64_360_1.exe
  • C:\ProgramData\VMware\VMware Tools\1.exe
  • C:\Users\%USERNAME%\Downloads\1.exe
  • C:\Users\%USERNAME%\Downloads\Ip_scanner.zip
  • C:\Users\%USERNAME%\Downloads\Ip_scanner\Ip_scanner.exe
  • C:\Users\Admin\source\repos\Somnia\FunnySomnia\obj\Release\FunnySomnia.pdb
  • C:\Users\frwl\Desktop\netscan_portable\64-bit\netscan.exe
  • C:\Users\frwl\Downloads\1.jpeg
  • C:\Users\frwl\Downloads\netscan_portable.7z
  • C:\Users\frwl\Downloads\Somnia_07_08_22_with_FunnySomnia.exe
  • D:\FunnySomnia.exe

Registry entries

  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\FunnySomnia
SEC-1275-1
Добавить комментарий