CERT-UA получена информация о распространении электронных писем с темой "Безоплатна первинна правова допомога" и вложением "Алгоритм дій членів сім’ї безвісти відсутнього військовослужбовця LegalAid.rar", которое защищено паролем. адреса в домене gov.ua (вероятно, скомпрометированного).
Указанный RAR-архив содержит документ "Алгоритм_LegalAid.xlsm", посвященный вопросам получения правовой помощи. При открытии документа и активации макроса будет выполнена PowerShell-команда, которая обеспечит загрузку и запуск .NET-загрузчика "MSCommondll.exe". Упомянутый исполняемый файл, в свою очередь, произведет загрузку и запуск вредоносной программы DarkCrystal RAT. Исходя из email-адресов получателей электронных писем, а также домена управления DarkCrystal RAT предполагаем, что атака направлена в отношении операторов и провайдеров телекоммуникаций Украины. В ходе предварительной атаки, 10.06.2022, объектами заинтересованности злоумышленников были медийные организации Украины.
Indicators of Compromise
IPv4
- 103.27.202.127
- 203.96.191.70
- 31.7.58.82
Domains
- plexbd.net
- datagroup.ddns.net
URLs
- http://plexbd.net/MSCommonDriver.exe
- http://plexbd.net/MSCommondll.exe
- https://datagroup.ddns.net/PythonHttpGeolongpolldefault.php
MD5
- 2fe9e49143b5a5d7a2ac38c1c56cbf21
- b726312450e28faa38396736be1b00fb
- fd2e0ec9021783dba1c9744fa730e5b9
- 19bbb1b94f66609cbd80945c14486e93
- 8fc587099c54491749b2b65176f4a145
SHA256
- 183a05f7a69bba3f9ec7df8abd50f5fd89246da7e732c19842a1a1eecc78f96f
- 2b2438aa8da7c23e714f2d7a196d82ed52914c9353ef9fded01448216bd858ff
- 471af7ed687ef875c6118ec2f440f0dea9a434b54d81b7946f58505676f7c589
- 7cffb54cb07db2f4104b8764ff15799111d06ea81d9c74c09134c61341d74202
- 96444376dfd650f8c994116f90be1cacbd337ebdcbafe922910645cb7549ace2
Mutex
- DCR_MUTEX-PNY1ZVhO2iPJoDxTnEBp