В течение 15-25 декабря 2023 года выявлено несколько случаев распространения среди государственных организаций электронных писем со ссылками на "документы", посещение которых приводило к поражению ЭВМ вредоносными программами.
В процессе исследования инцидентов выяснено, что упомянутые ссылки обеспечивают перенаправление жертвы на веб-ресурс, на котором с помощью JavaScript и особенностей прикладного протокола "search" ("ms-search") осуществляется загрузка файла-ярлыка, открытие которого приводит к запуску PowerShell-команды, предназначенной для загрузки с удаленного (SMB) ресурса и запуска (открытия) документа-приманки, а также интерпретатора языка программирования Python и файла Client. py, что классифицировано как MASEPIE.
С использованием MASEPIE на компьютер подгружается и запускается OPENSSH (для построения тоннеля), PowerShell-сценарций STEELHOOK (похищение данных Интернет-браузеров Chrome/Edge), а также бэкдор OCEANMAP. Кроме того, в течение часа с момента первичной компрометации на компьютере создаются IMPACKET, SMBEXEC и др., с помощью которых осуществляется разведка сети и попытки дальнейшего горизонтального перемещения.
По совокупности тактик, техник, процедур и инструментария активность ассоциируется с деятельностью группировки APT28. При этом, очевидно, что злонамеренный замысел также предусматривает принятие мер по развитию кибератаки на всю информационно-коммуникационную систему организации. Таким образом, компрометация любой ЭВМ может создать угрозу для всей сети.
Случаи осуществления аналогичных атак зафиксированы также в отношении польских организаций.
- OCEANMAP - вредоносная программа, разработанная с использованием языка программирования C#. Основной функционал заключается в выполнении команд с помощью cmd.exe. В качестве канала управления используется протокол IMAP. Команды, в base64-кодированном виде, содержатся в черновиках сообщений ("Drafts") соответствующих каталогов электронных почтовых ящиков; каждый из черновиков содержит название ЭВМ, имя пользователя и версию ОС. Результаты выполнения команд сохраняются в каталоге входящих сообщений ("INBOX"). Реализован механизм обновления конфигурации (интервал проверки команд, адреса и аутентификационные данные учетных записей почты), предусматривающий патчинг исполняемого файла бэкдора и перезапуск процесса. Персистентность обеспечена путем создания .URL-файла 'VMSearch.url' в каталоге автозапуска.
- MASEPIE - вредоносная программа, разработанная с использованием языка программирования Python. Основной функционал заключается в загрузке/выгрузке файлов и выполнении команд. В качестве канала управления используется протокол TCP. Данные шифруются с помощью алгоритма AES-128-CBC; ключ, представляющий собой последовательность 16 произвольных байт, генерируется в начале установки соединения. Персистентность бэкдора обеспечивается созданием ключа 'SysUpdate' в ветке "Run" реестра ОС, а также, с помощью LNK-файла 'SystemUpdate.lnk' в каталоге автозапуска.
- STEELHOOK - PowerShell-сценарий, обеспечивающий похищение данных Интернет-браузеров ("Login Data", "Local State") и мастер-ключа DPAPI путем их отправки на сервер управления с помощью HTTP POST-запроса в base64-кодированном виде.
Indicators of Compromise
IPv4
- 173.239.196.66
- 194.126.178.8
- 74.124.219.71
- 88.209.251.6
IPv4 Port Combinations
- 88.209.251.6:80
Domains
- czyrqdnvpujmmjkfhhvs4knf1av02demj.oast.fun
- czyrqdnvpujmmjkfhhvsclx05sfi23bfr.oast.fun
- czyrqdnvpujmmjkfhhvsgapqr3hclnhhj.oast.fun
- czyrqdnvpujmmjkfhhvsvlaax17vd5r6v.oast.fun
- e-nas.firstcloudit.com
- nas-files.firstcloudit.com
- ua-calendar.firstcloudit.com
- webmail.facadesolutionsuae.com
URLs
- http://194.126.178.8/webdav/231130N581.pdf
- http://194.126.178.8/webdav/StrategyUa.pdf
- http://194.126.178.8/webdav/wody.pdf
- http://194.126.178.8/webdav/wody.zip
- http://czyrqdnvpujmmjkfhhvs4knf1av02demj.oast.fun
- http://czyrqdnvpujmmjkfhhvsclx05sfi23bfr.oast.fun
- http://czyrqdnvpujmmjkfhhvsgapqr3hclnhhj.oast.fun
- http://czyrqdnvpujmmjkfhhvsvlaax17vd5r6v.oast.fun
- https://e-nas.firstcloudit.com/
- https://nas-files.firstcloudit.com/
- https://ua-calendar.firstcloudit.com/
Emails
MD5
- 47f4b4d8f95a7e842691120c66309d5b
- 5db75e816b4cef5cc457f0c9e3fc4100
- 5f126b2279648d849e622e4be910b96c
- 6128d9bf34978d2dc7c0a2d463d1bcdd
- 6fdd416a768d04a1af1f28ecaa29191b
- 825a12e2377dd694bbb667f862d60c43
- 8d1b91e8fb68e227f1933cfab99218a4
- 9724cecaa8ca38041ee9f2a42cc5a297
- acd9fc44001da67f1a3592850ec09cb7
SHA256
- 18f891a3737bb53cd1ab451e2140654a376a43b2d75f6695f3133d47a41952b6
- 19d0c55ac466e4188c4370e204808ca0bc02bba480ec641da8190cb8aee92bdc
- 24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04
- 4fa8caea8002cd2247c2d5fd15d4e76762a0f0cdb7a3c9de5b7f4d6b2ab34ec6
- 593583b312bf48b7748f4372e6f4a560fd38e969399cf2a96798e2594a517bf4
- 6bae493b244a94fd3b268ff0feb1cd1fbc7860ecf71b1053bf43eea88e578be9
- 6d44532b1157ddc2e1f41df178ea9cbc896c19f79e78b3014073af2d8d9504fe
- c22868930c02f2d6962167198fde0d3cda78ac18af506b57f1ca25ca5c39c50d
- fb2c0355b5c3adc9636551b3fd9a861f4b253a212507df0e346287110233dc23
