От участника информационного обмена CERT-UA получена информация по выявлению сетевых соединений между информационно-коммуникационной системой (ИКС) государственной организации Украины и инфраструктурой, которая ассоциируется с группировкой APT28.
В процессе анализа журнальных файлов межсетевого экрана субъекта координации идентифицировано электронно-вычислительную машину (ЭВМ), с которой 12.05.2023 осуществлялась упомянутая выше коммуникация; однако, признаков поражения компьютера вредоносными программами не обнаружено.
Вместе с тем, во время исследования содержимого почтового ящика пользователя ЭВМ обнаружено электронное письмо с темой "Новини України", полученное 12.05.2023 с адреса "ukraine_news@meta[.]ua", содержащее контент-приманку в виде статьи издания "NV" (nv.ua), а также эксплойт для уязвимости в Roundcube CVE-2020-35730 (XSS) и соответствующий JavaScript-код, предназначенный для загрузки и запуска дополнительных JavaScript-файлов: "q.js" и "e.js".
Среди упомянутых файлов, "e.js" обеспечивает создание фильтра "default filter" для перенаправления входящих электронных писем на сторонний электронный адрес, а также осуществляет эксфильтрацию с помощью HTTP POST-запросов: адресной книги, значений сессии (Cookie) и электронных сообщений жертвы. В свою очередь "q.js" содержит эксплойт для уязвимости в Roundcube CVE-2021-44026 (SQLi), с помощью которого осуществляется эксфильтрация информации из базы данных Roundcube.
Дополнительно обнаружен программный код "c.js", содержащий эксплойт для уязвимости CVE-2020-12641 и обеспечивающий выполнение команд на почтовом сервере.
В общем, подобные электронные письма отправлены на адреса более чем 40 украинских организаций.
Подчеркиваем, что реализации угрозы способствовало использование устаревшей версии Roundcube (1.4.1).
Indicators of Compromise
IPv4
- 185.225.226.57
- 185.82.126.85
- 77.243.181.238
Domains
- aneria.net
- armpress.net
- ceriossl.info
- fountainrate.com
- global-news-world.com
- global-world-news.net
- lonejade.com
- modeselling.com
- ns1.fountainrate.com
- ns1.lonejade.com
- ns1.modeselling.com
- ns1.oncetrips.com
- ns1.vtxhospital.com
- ns2.fountainrate.com
- ns2.modeselling.com
- ns2.oncetrips.com
- ns2.vtxhospital.com
- oncetrips.com
- vtxhospital.com
URLs
- https://global-world-news.net:443/about/[base64_string]
- https://global-world-news.net:443/addressbook/[base64_string]
- https://global-world-news.net:443/db/[base64_string]
- https://global-world-news.net:443/e?m=[base64_string]&r=[base64_string_2]&s=[base64_string_3]
- https://global-world-news.net:443/emails/[base64_string]
- https://global-world-news.net:443/l/[base64_string]
- https://global-world-news.net:443/q?r=[base64_string_2]&m=[base64_string]
- https://global-world-news.net:443/s/[base64_string]
Emails
MD5
- 0c030fe8696b00600baf8653c507cb80
- 6e17139a83b062ce90042a8c56b59f48
- 9e2926d1237b24e33db655041fd60ebf
- a723e1a8231023d14925bcf1eb84667b
- f3bb09a022e99fd556dd2bdf15f46ff0
SHA256
- 1277be4f8ef5af3404487f49a5ca3d0e506e64b24eebcfa65f196f983f6c4f11
- d4513d9c26cf8040bce4bbebefb8a2dcc2d35fc92d79083879b1f274d17ab197
- d6899f318026b65342d74682bab64d50da9fe8fb31a2765d99015b5aeb025e7a
- d94b13e70e97053e2171ddb81c749f90959ad90ea415b839be34ff78fc9bed4d
- fed8487faa22fe2fc1d3580d2028de44e7a274a8e22981dbf96346f5f74171d8
