Специалисты из Украинского центра обработки информации по инцидентам в области безопасности (CERT-UA) получили информацию о массовом распространении электронных писем с темами, связанными с интеграцией сервисов Amazon, Microsoft и внедрением архитектуры "нулевого" доверия (ZTA).
Rogue RDP
В этих письмах были прикреплены конфигурационные файлы настройки протокола удаленного рабочего стола (RDP), запуск которых устанавливал исходящее RDP-соединение с сервером злоумышленников. В результате такого соединения на компьютере жертвы могли быть запущены вредоносные программы или скрипты.
Исследования показали, что подготовка инфраструктуры для кибератаки началась не позднее августа 2024 года. Однако указанные IP-адреса и доменные имена могут быть не связаны с этим инцидентом.
Indicators of Compromise
IPv4
- 104.247.120.157
- 13.49.21.253
- 135.181.130.232
- 136.0.0.11
- 141.195.117.125
- 162.252.175.233
- 166.0.187.233
- 179.43.148.82
- 179.43.163.18
- 181.215.148.194
- 185.187.155.73
- 185.187.155.74
- 185.216.72.196
- 185.76.79.178
- 193.29.59.9
- 199.204.86.87
- 2.58.201.112
- 204.111.198.27
- 23.160.56.100
- 23.160.56.122
- 37.153.155.143
- 38.180.110.238
- 38.180.146.210
- 38.180.146.230
- 45.11.230.105
- 45.11.231.8
- 45.134.110.83
- 45.134.111.123
- 45.141.58.60
- 45.42.142.49
- 45.42.142.89
- 45.67.85.40
- 45.80.193.9
- 46.19.141.186
- 62.72.7.213
- 84.32.188.148
- 84.32.188.153
- 84.32.188.193
- 84.32.188.197
- 84.32.188.200
- 89.46.234.115
- 93.188.163.16
- 95.156.207.121
- 95.217.113.133
Domains
- aws-meet.cloud
- aws-ukraine.cloud
- ca-central-1.awsplatform.online
- ca-west-1.mfa-gov.cloud
- central-2-aws.ua-aws.army
- eru-gov.cloud
- eu-central-1.mfa-gov.cloud
- eu-central-1.ukrtelecom.cloud
- eu-central-1-aws.mfa-gov.cloud
- eu-central-2-aws.ua-aws.army
- eu-north-1-aws.ua-energy.cloud
- eu-north-1-aws.ua-gov.cloud
- eu-south-1-aws.mfa-gov.cloud
- eu-south-2-aws.mfa-gov.cloud
- eu-southeast-1-aws.govtr.cloud
- eu-southeast-1-aws.gov-ua.cloud
- eu-southeast-1-aws.zero-trust.solutions
- feedzai-gov.cloud
- gov-au.cloud
- gov-aws.cloud
- gov-fi.cloud
- gov-gr.cloud
- gov-lt.cloud
- gov-lv.cloud
- gov-pl.cloud
- govps.cloud
- gov-sk.cloud
- govtr.cloud
- gov-trust.cloud
- govua.cloud
- gov-ua.cloud
- md-gov.cloud
- mfa-gov.cloud
- mfa-gov-il.cloud
- mfa-gov-tr.cloud
- mf-gov.cloud
- mil-be.cloud
- mil-ee.cloud
- mil-pl.cloud
- mil-pt.cloud
- mmr-gov.cloud
- mod-gov-il.cloud
- mo-gov.cloud
- mpo-gov.cloud
- mpsv-gov.cloud
- msmt-gov.cloud
- mv-gov.cloud
- my-gov.cloud
- mzd-gov.cloud
- mze-gov.cloud
- mzp-gov.cloud
- mzv-gov.cloud
- nakit-gov.cloud
- nbu-gov.cloud
- nukib-gov.cloud
- policie-gov.cloud
- s3-acronis.cloud
- s3-army.cloud
- s3-atlassian.cloud
- s3-aws.cloud
- s3-bah.cloud
- s3-be.cloud
- s3-blackberry.cloud
- s3-csis.cloud
- s3-de.cloud
- s3-dgap.cloud
- s3-dk.cloud
- s3-dnc.cloud
- s3-esa.cloud
- s3-fbi.cloud
- s3-hudson.cloud
- s3-ida.cloud
- s3-iri.cloud
- s3-knowbe4.cloud
- s3-marcus.cloud
- s3-monitoring.cloud
- s3-nato.cloud
- s3-ned.cloud
- s3-nsa.cloud
- s3-proofpoint.cloud
- s3-pt.cloud
- s3-rackspace.cloud
- s3-rand.cloud
- s3-spacex.cloud
- s3-state.cloud
- s3-stig.cloud
- s3-ua.cloud
- s3-ucia.cloud
- s3-zoho.cloud
- ua-aws.army
- ua-energy.cloud
- ua-gov.cloud
- ua-mil.cloud
- ua-se.cloud
- ua-sec.cloud
- ua-sn.cloud
- uohs-gov.cloud
- uoou-gov.cloud
- us-east-1-aws.mfa-gov.cloud
- us-east-2-aws.ua-gov.cloud
- us-east-console.awsplatform.online
- us-west-1.aws-ukraine.cloud
- us-west-1.ua-aws.army
- us-west-1.ukrtelecom.cloud
- us-west-1-amazon.ua-energy.cloud
- us-west-2-aws.mfa-gov.cloud
- vlada-gov.cloud
- voa-gov.cloud
Emails
MD5
- 1595266bb78dc1e3d67f929154824c74
- 222c83d156a41735c38cc552a7084a86
- 281a28800a4ba744bfde7b4aff46f24e
- 3f753810430b26b94a172fbf816e7d76
- 40f957b756096fa6b80f95334ba92034
- 434ffae8cfc3caa370be2e69ffaa95d1
- 80b3cad4f70b6ea8924aa13d2730328b
- 86f58115c891ce91b7364e5ff0314b31
- 8bcb741a204c25232a11a7084aa2221f
- a18a1cad9df5b409963601c8e30669e4
- a5de73d69c1a7fbae2e71b98d48fe9b5
- aabbfd1acd3f3a2212e348f2d6f169fc
- b0a0ad4093e781a278541e4b01daa7a8
- b38e7e8bba44bc5619b2689024ad9fca
- bd711dc427e17cc724f288cc5c3b0842
- c0da30b71d58e071fc5863381444d9f0
- c287c05d91a19796b2649ebebd27394b
- cbbc4903da831b6f1dc39d0c8d3fc413
- d37cd2c462af0e0643076b20c5ff561e
- db326d934e386059cc56c4e61695128e
- e465a4191a93195094a803e5d4703a90
- f58cf55b944f5942f1d120d95140b800
- fa9af43e9bbb55b7512b369084d91f4d
SHA256
- 071276e907f185d9e341d549b198e60741e2c7f8d64dd2ca2c5d88d50b2c6ffc
- 129ba064dfd9981575c00419ee9df1c7711679abc974fa4086076ebc3dc964f5
- 18a078a976734c9ec562f5dfa3f5904ef5d37000fb8c1f5bd0dc2dee47203bf9
- 1cfe29f214d1177b66aec2b0d039fec47dd94c751fa95d34bc5da3bbab02213a
- 280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0
- 296d446cb2ad93255c45a2d4b674bbacb6d1581a94cf6bb5e54df5a742502680
- 31f2cc1157248aec5135147073e49406d057bebf78b3361dd7cbb6e37708fbcc
- 34c88cd591f73bc47a1a0fe2a4f594f628be98ad2366eeb4e467595115d8505a
- 383e63f40aecdd508e1790a8b7535e41b06b3f6984bb417218ca96e554b1164b
- 3a2496db64507311f5fbd3aba0228b653f673fc2152a267a1386cbab33798db5
- 5534cc837ba4fa3726322883449b3e97ca3e0d28c0ccf468b868397fdfa44e0b
- 6e6680786fa5b023cf301b6bc5faaa89c86dc34b696f4b078cf22b1b353d5d3c
- 88fd6a36e8a61597dd71755b985e5fcd0b8308b69fc0f4b0fc7960fb80018622
- 8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5
- 984082823dc1f122a1bb505700c25b27332f54942496814dfd0c68de0eba59dc
- a5bbb109faefcecba695a84a737f5e47fa418cea39d654bb512a6f4a0b148758
- b8327671ebc20db6f09efc4f19bd8c39d9e28c9a37bdd15b2fd62ade208d2e8a
- b9ab481e7a9a92cfa2d53de8e7a3c75287cff6a3374f4202ec16ea9e03d80a0b
- ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46
- bb4d5a3f7a40c895882b73e1aca8c71ea40cef6c4f6732bec36e6342f6e2487a
- ef4bd88ec5e8b401594b22632fd05e401658cf78de681f81409eadf93f412ebd
- f2acb92d0793d066e9414bc9e0369bd3ffa047b40720fe3bd3f2c0875d17a1cb
- f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8
