Эволюция угрозы: UAC-0099 внедряет MATCHBOIL, MATCHWOK и DRAGSTARE в атаках на Украину

Традиционно атака начинается с фишинговой рассылки. Злоумышленники рассылают электронные письма, преимущественно через сервис UKR.NET, маскируя их под судебные повестки. Сообщения содержат ссылки на легитимные файловые сервисы, часто укороченные. Переход по ссылке ведет к загрузке двойного архива, внутри которого скрыт HTA-файл. Далее этот файл выполняет обфусцированный VBScript, создающий на зараженном компьютере текстовые файлы с HEX-данными и PowerShell-кодом, а также запланированную задачу "PdfOpenTask".

Запланированная задача активирует PowerShell-скрипт. Основная его функция - преобразование HEX-данных в байты, запись их в файл с расширением ".txt", последующее переименование в "AnimalUpdate.exe" и создание еще одной задачи "\AnimalSoft\UpdateAnimalSoftware" для запуска этого исполняемого файла. Так на систему попадает лоадер MATCHBOIL, вероятно, заменяющий ранее использовавшийся LONEPAGE. Эксперты отмечают, что в процессе атаки на компьютер могут дополнительно загружаться бекдор MATCHWOK и стейлер DRAGSTARE.

MATCHBOIL, написанный на C#, выступает в роли загрузчика последующих модулей. При запуске он активно собирает системную информацию: идентификатор процессора, серийный номер BIOS, имя пользователя и MAC-адрес. Эти данные конкатенируются и передаются в HTTP-запросах в заголовке "SN". Для связи с сервером управления MATCHBOIL использует HTTP, добавляя специальные заголовки "SN", "Count" (значение вычисляется по функции Эйлера) и уникальный "User-Agent". Загрузка полезной нагрузки происходит через HTTP GET-запрос к определенному URI. Ответ парсится по регулярному выражению, найденное значение декодируется из HEX и BASE64, после чего записывается в файл с расширением ".com". Адрес C2-сервера также извлекается из ответа и сохраняется в конфигурационном файле. Персистентность MATCHBOIL обеспечивается запланированной задачей "DocumentTask", созданной при первоначальном запуске HTA.

MATCHWOK, также разработанный на C#, функционирует как бекдор. Его ключевая задача - исполнение PowerShell-команд, получаемых с сервера управления. Для этого он использует нестандартный подход: переименовывает и перемещает "powershell.exe", а затем компилирует .NET-программы в рантайме, передавая команды через STDIN. Результаты выполнения команд записываются во временный файл и отправляются по HTTPS. Команды для выполнения зашифрованы AES-256 со статическим ключом и извлекаются из тегов "<script>" загружаемой страницы. MATCHBOIL обеспечивает автозагрузку MATCHWOK через запись в ветку реестра "Run". Программа содержит анти-аналитические механизмы, проверяя наличие процессов, связанных с отладкой и анализом трафика (например, "idaq", "fiddler", "wireshark").

DRAGSTARE, третий компонент арсенала на C#, специализируется на сборе и краже конфиденциальных данных. Сначала он собирает обширную информацию о системе: имя компьютера и пользователя, данные об ОС, процессорах, оперативной памяти, дисках, сетевых интерфейсах, результаты "ping" и "arp -a", активные TCP-соединения. Затем программа ворует данные из браузеров Chrome и Mozilla, включая расшифрованные с помощью DPAPI ключи шифрования, базы данных SQLite, файлы "key4.db", "cert9.db", "logins.json", содержащие логины, пароли и cookies. Параллельно DRAGSTARE рекурсивно ищет документы (".docx", ".doc", ".xls", ".txt", ".ovpn", ".rdp", ".pdf") в ключевых папках пользователя ("Desktop", "Documents", "Downloads"), перемещает найденное в стейджинг-директорию, архивирует в ZIP и эксфильтрирует. Дополнительно стейлер может выполнять PowerShell-команды с сервера управления в отдельном потоке. Программа включает проверки на анализ в виртуальной среде (анти-VM). Персистентность достигается через автозагрузку в реестре. Актуальный адрес C2 получается при старте через HTTP GET-запрос, шифруется DPAPI, кодируется BASE64 и сохраняется в "config.conf". Ход выполнения операций помечается созданием специальных файлов-флагов в стейджинг-директории.

Появление и активное использование MATCHBOIL, MATCHWOK и DRAGSTARE подтверждает постоянное развитие UAC-0099. Группа не только обновляет инструменты, но и усложняет цепочку заражения, внедряет продвинутые методы сбора данных, кражи учетных записей и обхода систем безопасности. Эта эволюция делает данную киберугрозу особенно опасной для критической инфраструктуры Украины. Эксперты CERT-UA продолжают мониторинг активности группы и анализ ее новых тактик.

IPv4

• 188.120.246.133
• 45.61.137.120
• 64.94.85.15
• 64.95.10.117
• 64.95.11.80
• 64.95.13.203
• 64.95.13.210
• 65.38.121.164

Domains

• airarticlegenerate.com
• authorization.rutech.tech
• devicemonitor.com
• egyptanimals.com
• geostat.lat
• kpuszkiev.com
• rutech.tech
• secfileshare.com
• startdeeplearning.com
• uztickets.com

URLs

• https://airarticlegenerate.com/articles/imagecatalog
• https://airarticlegenerate.com/articles/images/forest.jpg
• https://airarticlegenerate.com/articles/images/mountains.jpg
• https://cutt.ly/mrnmaZ6c
• https://cutt.ly/nrPfLChf
• https://cutt.ly/ornmaAKa
• https://egyptanimals.com/animals/images/bird.jpg
• https://egyptanimals.com/animals/images/dog.jpg
• https://egyptanimals.com/animals/photoalbum
• https://geostat.lat/articles/imagecatalog
• https://geostat.lat/articles/images/forest.jpg
• https://kpuszkiev.com/indexfileup
• https://secfileshare.com/_0DGJT5OFX.rar
• https://secfileshare.com/1.hta
• https://secfileshare.com/1.txt
• https://secfileshare.com/2.hta
• https://secfileshare.com/2.txt
• https://secfileshare.com/3.hta
• https://secfileshare.com/3.txt
• https://secfileshare.com/4.hta
• https://secfileshare.com/4.txt
• https://secfileshare.com/5.hta
• https://secfileshare.com/5.txt
• https://transfergb.com/handler/download?action=download&download_id=ZULM9z68

Emails

• court.ics3312@ukr.net
• spd10381@ukr.net
• spd1401@ukr.net

MD5

• 059da876312f83c5d11aeb7035eb7feb
• 0846d3f7d56833f7c7ed0f00ed6e9b0f
• 0a27f32e1ed9b447280b9d6d7180c9e6
• 118cbd35a8726cb25c7c155aa7012a2f
• 17f3df06950610ebc7c9f4918ece6e78
• 1fce3bc0680f1f33b4777aff0a83973c
• 24b0d8b891eafefcd5f2223df9bfbbb6
• 300fa1ddbd0a11f59751b418e517d169
• 35750cc292cf2f56fceb22dade3d8870
• 3f41b99fe4dda40d0b207061572de023
• 40b00fc0d2823303f73eb6847dd13534
• 4117ba23e07b239f83b52c839430e23e
• 49c7e38dc32343fed55f54cbdb7a5dec
• 4b793311cd8bd2c432d842bcc2405c58
• 4bb22cffc195be3474c1750bccdbd6d7
• 5d7179cee1bdf459e74a6f8ee35e5013
• 5e88e4879f56ee7f2b5667f86988ed14
• 62819eb327652d267b81bbf819b4eaab
• 683becbeef52312d03849d2e3601f658
• 6bc270025c1636168ce4b805663c46dd
• 7601188581705cffeb3d3e40f946b3cb
• 78fcfde0ec4d364bfb3a79ba183c7022
• 9a01d2e6e0a91f25a920d78ceeab7150
• a04e7ff5224869fd0fa397768f286f92
• a35c95ea5be5413e891ce066519817c1
• a7322f9abcdacef4d16913f3e4eaabdc
• a9ab01cdc0f26ba4c546d7e595fbe2b4
• bc45880b4b827d4e94ff08298a116683
• c74efeeff69a7b21174ea78d708ad67e
• cd00b3c263fe03b00ea349635a746570
• d24d29e814f275f4432ba9c61e327e41
• d68801635d5892646a29fb1149757fb5
• e6a04ac004a20db33d708d7cc367c4dc
• e8ad592c5c5e30c04ac6ed471fc903fa
• f1f6c539379d4b0f32c3cae7f54cbffa
• f31bf9346712204f549f60a08b4391b8
• f704a4cce48ff15efb3b3583d0830895

SHA256

• 06564bd863c772ca700b2f4472538fbfa52b96bdaef20c2a1daa11a2a08d61fd
• 12c2d51ed5feec99f7879ad5c9c628d702259e5d4e8d03b342f27f0dd3dcebfc
• 1406db18b5a9e0b555fd17ce01beda801e0c5402ca15bb56e37b212625b16000
• 2102c2178000f8c63d01fd9199400885d1449501337c4f9f51b7e444aa6fbf50
• 2d916d66e0396d645ef8f900d8790251a709bbe96caa1a0ca0a98aa931a47913
• 334c553d3d823fe078ce11ee924aeecddae0d3ccbc9ecc453b5c60cf7bca4fa1
• 39b99ff4ee196cdfa1174488164e68c56cde1fd59f144e576f4c1f62dc05739a
• 39c68962a6b0963b56085a0f1a2af25c7974a167b650cf99eb1acd433ecb772b
• 3ced3dfe8990df266a1149a5834bf012f7725ced86b8088b193efb48abce90ca
• 4857541cc53e95a847cfbffdb4fce3efe299d2c1c6529325c3610bfffbe9b52a
• 4982754bb9805b71498d0d0b4327f2644e35a428a7eed9a4301ee7c62f74082c
• 4fdc01f9adfa9a74bd03c27fa804ba5e75942259d2bffdf9392acf8b87fba079
• 52281c4e277575bef8d60fee7f1c318e9b1673ae6e899aa9fd3bec57651d89e8
• 58e0d261636196bcf967925bb194876458710faf3436968e0e830fc6ebc7cdc3
• 5ea8f7650485e1c92659bed861e002b5916fa5b5a72fb9a89ee2c1035d575307
• 5fca38c70b0f8b24a5ec39367e7939ce35c1cd0fb059cf2b1e3c22ac792acfa7
• 6026d00273d27c1d709a9501237c561f38ca2f169a85d92cd3304d0782a18d70
• 64edad866adc92c8ec958b4706240d7ff4788479782b8209b45f4339761fb9a0
• 76ea937970a0d583834b23c3e29ca59c7ed27474519c72704e45bb60f384270d
• 78ca4a3aa6a2d53756647b8be5e3c3549a673763f9ef1a62cb43e2eb77a49e43
• 7b2b757e09fa36f817568787f9eae8ca732dd372853bf13ea50649dbb62f0c5b
• 96883c0c037423e5690bcc6cd198752ec669ac4e45862c9b86f9b2b3dde51c6f
• 9be7a2701dba7d5d0a6a97b71e6cb6ff94c02338e2a675b3b6e3f61940de1486
• 9d1f587b1bd2cce1a14a1423a77eb746d126e1982a0a794f6b870a2d7178bd2c
• a45d786edb37cf0e24ef3623b830cd636504c9d0235335cbf168fad579c01290
• c0b359699b934c82cfe3861b577f26c2efcbbe17a940cd1e51973a47be058205
• c1f5cef846d9f2a9884bbf3343c88cce8d32a31b05ed99f28fc37aff182cf5bd
• c3cfd958f072704fb602ab95cdad2e67654d6cec7d2ef8fdbe66550281df94bd
• cc811b4a12af9fc3608d5ab42d484ac70e093438d67102dc225679aab0b14c41
• cdaa82a3142229c346ebfa34fbf0637f75a5bb1b1b35d057cf4a835950ead175
• d0025dae96e6c5412c1a3daee22f035e77d68c354bccbd0a83393a9ba13ef3e6
• d8ff0d6f42a11f3976c2cc3d27fa9c0e67d33ae5f4e0482838fe9ff836642a8c
• e07b33b5560bbef2e4ae055a062fdf5b6a7e5b097283a77a0ec87edb7a354725
• f4f6beea11f21a053d27d719dab711a482ba0e2e42d160cefdbdad7a958b93d0
• f8403e30dd495561dc0674a3b1aedaea5d6839808428069d98e30e19bd6dc045
• fba09a922923664f6c722f38e06928ce07b55a737f2e141bc27409164bc4f1aa
• fbffe681c61f9bba4c7abcb6e8fe09ef4d28166a10bfeb73281f874d84f69b3d