Группа Shuckworm, продолжает свои атаки на правительственные и оборонные организации Украины. В новой кампании, начавшейся в 2025 году, они нацелились на военную миссию западной страны, расположенную на востоке Европы. Атаки Shuckworm ранее были направлены на правоохранительные и оборонные структуры Украины.
Описание
Одним из аспектов новой кампании Shuckworm является использование обновленной версии их вредоносной программы GammaSteel, которая является похитителем информации, выкачивающим данные из сетей жертв. Атакующие используют веб-службу write.as для возможной утечки данных. Они также используют инструмент командной строки cURL в сочетании с Tor для резервного метода эскфильтрации данных. Эта кампания также демонстрирует переход Shuckworm от использования VBS-скриптов к инструментам на базе PowerShell, что упрощает обфускацию и хранение скриптов в реестре.
Первое заражение в рамках этой кампании произошло в феврале 2025 года с использованием зараженного съемного диска. После этого были выполнены несколько команд, включая запуск процесса mshta.exe, который выполнял дальнейшие команды, такие как запуск скрипта в реестре и запуск HTA-файла. Один из файлов реестра был использован для связи с командно-контрольным сервером и поддержания контакта с ним, а другой файл содержал адреса C&C-серверов, используемых атакующими.
Исследователи также выявили несколько адресов C&C-серверов, используемых Shuckworm, включая hxxps://des-cinema-democrat-san.trycloudflare[.]com/server, который использует туннелизацию через Cloudflare.
Индикаторы компрометации
IPv4
- 104.16.230.132
- 104.16.231.132
- 107.189.19.137
- 107.189.19.218
- 139.59.136.192
- 159.223.50.199
- 165.232.153.27
- 172.104.187.254
- 3.73.33.225
- 45.61.166.43
- 64.23.190.235
- 85.92.111.12
Domains
- abraham-lc-happened-ericsson.trycloudflare.com
- acquisition-gray-advertisements-trained.trycloudflare.com
- affects-periodic-explorer-broadband.trycloudflare.com
- areas-apps-civic-loving.trycloudflare.com
- argentina-references-rapid-selecting.trycloudflare.com
- belongs-tells-sum-harvest.trycloudflare.com
- beverly-cups-soft-concentrate.trycloudflare.com
- boxes-harvest-cameroon-uniform.trycloudflare.com
- cables-tension-bronze-hans.trycloudflare.com
- convergence-suffering-reel-ingredients.trycloudflare.com
- criterion-receipt-proceeds-fate.trycloudflare.com
- der-grande-transmitted-benchmark.trycloudflare.com
- des-cinema-democrat-san.trycloudflare.com
- detector-excluded-knowledgestorm-two.trycloudflare.com
- distributors-marble-saddam-much.trycloudflare.com
- eddie-lewis-exercises-conventions.trycloudflare.com
- farming-alternatively-velvet-warming.trycloudflare.com
- fee-ss-launch-remedies.trycloudflare.com
- ff-susan-config-mod.trycloudflare.com
- hints-heated-terrain-poem.trycloudflare.com
- jet-therapy-cape-correctly.trycloudflare.com
- jon-shopzilla-canada-analytical.trycloudflare.com
- lucystew.ru
- missouri-itunes-recognize-adds.trycloudflare.com
- nail-employed-icon-pre.trycloudflare.com
- nav-ni-furnished-handy.trycloudflare.com
- obj-sudan-quote-aw.trycloudflare.com
- over-function-foo-school.trycloudflare.com
- pays-habitat-florists-virtually.trycloudflare.com
- pdt-throwing-pod-places.trycloudflare.com
- phpbb-zealand-hop-magnetic.trycloudflare.com
- position.crudoes.ru
- presents-turner-cir-hollow.trycloudflare.com
- promptly-allows-pendant-close.trycloudflare.com
- reflection-tomorrow-brook-dakota.trycloudflare.com
- representatives-liable-sight-tigers.trycloudflare.com
- score-adams-coastal-moreover.trycloudflare.com
- sick-netherlands-alumni-electric.trycloudflare.com
- surfing-programmer-morris-mortality.trycloudflare.com
- terry-training-springer-engagement.trycloudflare.com
- www.phlovel.ru
SHA256
- 714aeb3d778bbd03d0c9eaa827ae8c91199ef07d916405b7f4acd470f9a2a437
- 90ec1f4dd69c84c3eb0b2cada4a31168de278eff9b21cb20551ec39d5bcb9da2
