Группа TA406 начала атаки на правительственные организации в Украине в феврале 2025 года, используя фишинговые кампании для сбора учетных данных и распространения вредоносного ПО.
Описание
Вероятная цель атак - сбор разведданных. TA406, спонсируемая КНДР, использует подделку отправителей бесплатной почты и ссылок на файлы, загружаемые с защищенного паролем архива через сервисом хостинга MEGA. Письма содержат заманчивый контент, связанный с украинской внутренней политикой.
На следующих этапах кампаний TA406 использует PowerShell для сбора информации о целях, отправляя зашифрованную информацию через POST-запрос на сервер. Компания Proofpoint отмечает также попытки сбора учетных данных отправкой фальшивых уведомлений о безопасности Microsoft украинским организациям с просьбой проверить активность через вредоносные ссылки. TA406 также пыталась собрать учетные данные путем рассылки фальшивых сообщений об активности в учетных записях пользователей. Домен jetmf[.]com использовался для сбора данных в компании Naver.
В целом, атаки TA406 на правительственные учреждения Украины подтверждают их стремление к сбору разведданных и учетных данных для целей шпионажа и информационных операций.
Индикаторы компрометации
Domains
- jetmf.com
URLs
- http://pokijhgcfsdfghnj.mywebcommunity.org/main/receive.php
- http://pokijhgcfsdfghnj.mywebcommunity.org/main/test.txt
- http://qweasdzxc.mygamesonline.org/dn.php
- http://wersdfxcv.mygamesonline.org/view.php
- https://lorica.com.ua/MFA/вкладення.zip
- https://mega.nz/file/SmxUiA4K#QoS_PYQDnJN4VtsSg5HoCv5eOK0AI1bL6Cw5lxA0zfI
Emails
SHA256
- 28116e434e35f76400dc473ada97aeae9b93ca5bcc2a86bd1002f6824f3c9537
- 2a13f273d85dc2322e05e2edfaec7d367116366d1a375b8e9863189a05a5cec5
- 58adb6b87a3873f20d56a10ccde457469adb5203f3108786c3631e0da555b917