CERT-UA зафиксировано целевую кибератаку в отношении объекта критической энергетической инфраструктуры Украины.
Для реализации злонамеренного замысла распространено сообщение электронной почты с поддельным адресом отправителя и ссылкой на архив, например, "photo.zip".
Посещение ссылки приведет к загрузке на ЭВМ жертвы ZIP-архива, содержащего три JPG-изображения (приманки) и BAT-файл "weblinks.cmd". В случае запуска CMD-файла будет открыто несколько веб-страниц-приманок, созданы файлы ".bat" и ".vbs", а также осуществлен запуск VBS-файла, который, в свою очередь, выполнит BAT-файл.
Указанное приведет к обращению к URL-адресу с помощью программы Microsoft Edge в "headless" режиме, в результате чего на ЭВМ в каталоге "%USERPROFILE%\Downloads" будет создан файл с расширением ".css", который впоследствии будет перемещен в каталог "%PROGRAMDATA%" с расширением ".cmd", выполнен и удален.
Во время исследования на ЭВМ был загружен CMD-файл, предназначенный для выполнения команды "whoami" и передачи результата с помощью HTTP GET-запроса, выполненного с помощью программы Microsoft Edge в "headless" режиме.
В процессе контролируемой эмуляции поражения дополнительно выяснено, что на ЭВМ жертвы с файлового сервиса file.io будет осуществлена загрузка программы TOR и создание "скрытых" сервисов, предназначенных для перенаправления информационных потоков через сеть TOR на соответствующие хосты локальной вычислительной сети, в частности, контроллер домена (порты: 445, 389, 3389) и почтовый сервер (порты: 443, 445, 3389). Кроме того, для получения хеша пароля учетной записи использован PowerShell-сценарий, который открывает сокет и инициирует SMB-подключение к нему с помощью команды "net use".
При этом, удаленное выполнение команд реализовано с помощью "curl" через API легитимного сервиса webhook.site; персистентность обеспечена путем создания запланированных задач для запуска VBS-скрипта с BAT-файлом в качестве аргумента.
Благодаря ограничению возможности доступа к веб-ресурсам сервиса Mockbin (mockbin.org, mocky.io) и блокированию запуска Windows Script Host (в частности, "wscript.exe") на ЭВМ, ответственному сотруднику упомянутого объекта критической энергетической инфраструктуры удалось предотвратить кибератаку. Заметим, что в контексте детектирования и противодействия целесообразно также обратить внимание на запуск "curl" и "msedge" с параметром "--headless=new".
Очевидно, что с целью обхода средств защиты злоумышленники продолжают использовать функционал штатных программ (так называемые LOLBAS - Living Off The Land Binaries, Scripts and Libraries), а для создания канала управления злоупотребляют соответствующими сервисами.
Описанная активность осуществляется группировкой APT28. При этом, один из первых случаев использования сервиса Mockbin зафиксирован в апреле 2023 года.
Indicators of Compromise
IPv4
- 173.239.196.198
- 185.220.100.253
URLs
- https://mockbin.org/bin/%GUID%
- https://mockbin.org/bin/%GUID%/%whoami%
- https://run.mocky.io/v3/%GUID%
- https://webhook.site/%GUID%
Emails
MD5
- 20d7223482ed78acedb3bd19e4b98a46
- 3951e4409e66a767af53ee9a920386b9
- 4b6880d3b614548fec6426b8caea2840
- 74e07e9b83c3967578e2b8c88f7c20d1
- 76dd1a509028dab3e45613f2f5b062f0
- 80067d1c66f79910ddad67d17998851c
- 8718966fa7ad85b5be84655251f2a8fe
- 9ff8225ea895e8e8a9f1d768bc41ba77
- a8085a7b624d572de024e53871da49ea
- b7c7dc5d07ddd105e0c6de37967b5aa9
SHA256
- 1c47e40a2f4dc93ed5b8253278799a4cd70890ec968512ade54b5767707f9a7b
- 47569fbf80dda804b4ea00c5678d4d98113c3b1f2e52630d191524c615b885a8
- 4b4fbfb0f201d6b80f22cbf1c8d6b1fb2e1a155ce37d426065167e10239062aa
- 561ab624c7214e3b21edd97bf575d5ec0ff7da25b1ae374e616f27a99ca0b77b
- 8c268cf8d0bbe3ab1f25f5fdc205c14e30d78a63cc43c5ffbd0733e44fe31b5c
- 9b6b926b7089d401a6f73094167a6144dd3f6e485128cc28b449d917da79018a
- aab6b46c209305b4fef7c7bfc16cc9ada1e937ef322cf9b3f5107d65fe59eabb
- ab7d21d81de1039345f9b08d5b64b3c015ea70a15d7ff1194f5f073ca1fbbe23
- af4d7ad40e505d047f9df078ef3f6c7e0207c882dc91705e2f4190cc7d2360ce
- d03373be2435af1966bfdfe51ae6d0038e4d4f3c353b63fea41144d144547121
