Главная страница » IOC
0
6 месяцев
IOC

Попытки кибератак на военные системы Украины с помощью вредоносных программ для мобильных устройств

security

CERT-UA во взаимодействии с администраторами безопасности ІКС "Очі", специалистами в/ч А0334 и объединенной команды реагирования Министерства обороны Украины и Вооруженных сил Украины MILCERT (в составе ЦРК, ЦИРОТ и ЦМТР) выявлены и проанализированы две кибератаки, для реализации которых злоумышленниками средствами Signal среди военнослужащих осуществлено распространение сообщений со ссылками для загрузки APK-файлов, якобы, военных систем GRISELDA (автоматизированная система внесения, обработки и передачи информации с использованием искусственного интеллекта) и системы слежения «Очі».

Попытки кибератак на военные системы Украины

В случае с GRISELDA по ссылке открывалась копия официального сайта проекта, где предлагалось загрузить «мобильную версию» приложения GRISELDA. Следует заметить, что такого приложения не существует, а загружаемый APK-файл представлял собой вредоносное программное обеспечение HYDRA, функционал которого, среди прочего, предусматривает возможность похищения данных сессий (HTTP Cookie), контактов, кейлогинг и др.

В случае с системой «Очі» по ссылке (Google Drive) предлагалось загрузить APK-файл, который, кроме штатного функционала оригинальной программы, содержал сторонний код, с помощью которого осуществлялось похищение логина и пароля пользователя, а также установка и передача GPS-координат устройства. Мы предполагаем, что злоумышленники осуществили модификацию легитимной программы, добавив сторонний JAVA-класс, и реализовав его вызов в соответствующих блоках кода.

Indicators of Compromise

IPv4

  • 152.89.198.76
  • 185.27.134.204
  • 185.27.134.57
  • 31.134.121.63
  • 79.137.80.206

Domains

  • bitter-hall-1c0c.ochiplus.workers.dev
  • falling-rice-4afa.ochiplus.workers.dev
  • griselda.biz.ua
  • griselda.co.ua
  • griselda-edu.com.ua
  • ochiplus.workers.dev

URLs

  • http://152.89.198.76/
  • https://falling-rice-4afa.ochiplus.workers.dev
  • https://griselda.biz.ua/download
  • https://griselda.co.ua/download
  • https://griselda.co.ua/file/griselda.apk

Emails

MD5

  • 9275cb60e85eb039c2806548381af78d
  • c27ff4f44289c5c66cac5bfdeca9a391
  • d6171caf4a5e9ff657558f30b595f8b0
  • eb58e0e223c84a46b4e5ad6154e869d1

SHA256

  • 28f07bdcafaebb2c37d206649022ccbe2938b0381d7febfe0b8154292dd04f39
  • 61e5651c5bba683bcf93e27a040d6c5fd64399dab6d59d834518a6aadde18954
  • 852fb97e23fe551c4a962ea752b19c5479e91d9c637f31589bdd79f91c8216bf
  • c8c5d2e0d2a29417c4a89c55c4a0e452b948b1429418eda84be725774504a35c
Комментарии: 0
Похожие записи
0
14 дней
IOC

UAC-0173 APT IOCs

security
CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов
0
15 дней
IOC

Целевая активность UAC-0212 в отношении разработчиков и поставщиков решений АСУТП с целью осуществления кибератак на объекты критической инфраструктуры Украины

security
Злоумышленники использовали новые тактики, такие как отправка PDF-документов с ссылками, которые при эксплуатации уязвимости CVE-2024-38213 загружали LNK-файлы, запускали PowerShell-команды и загружали вредоносные файлы.
0
3 месяца
IOC

Sandworm (APT44) APT IOCs - Part 8

security
17.12.2024 CERT-UA от специалистов MIL.CERT-UA получена информация об обнаружении ряда веб-ресурсов, имитирующих официальную страницу приложения «Армія+» и опубликованных с помощью сервиса Cloudlfare Workers.
0
3 месяца
IOC

UAC-0099 APT IOCs

security
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выявила серию кибератак UAC-0099, направленных на украинские государственные организации, включая лесные хозяйства