Главная страница » IOC
0
15 дней
IOC

Целевая активность UAC-0212 в отношении разработчиков и поставщиков решений АСУТП с целью осуществления кибератак на объекты критической инфраструктуры Украины

Злоумышленники использовали новые тактики, такие как отправка PDF-документов с ссылками, которые при эксплуатации уязвимости CVE-2024-38213 загружали LNK-файлы, запускали PowerShell-команды и загружали вредоносные файлы. Были использованы инструменты SECONDBEST / EMPIREPAST, SPARK, CROOKBAG (на GoLang), а также RSYNC. Были совершены целевые атаки на предприятия в Сербии, Чехии и других странах. Затронутыми также стали логистические, зерновые и АСУТП компании в Украине. Злоумышленники вводили жертв в заблуждение, представляясь потенциальными заказчиками и отправляя PDF-документы с искаженным содержанием.
security

CERT-UA обнародовало информацию о замысле осуществить кибератаки на предприятия энергетической, водопроводной и теплоснабжающей отраслей в десяти регионах Украины. Появился отдельный кластер угроз UAC-0133, связанный с предыдущей угрозой UAC-0002 (Sandworm, APT44, Seashell Blizzard).

Описание

Начиная со второй половины 2024 года было отмечено применение новых тактик, техник и процедур, которые, среди прочего, предусматривали отправку жертве PDF-документа со ссылкой, посещение которого, в сочетании с эксплуатацией уязвимости CVE-2024-38213, приводило к загрузке на компьютер LNK-файла (расширение «pdf. lnk"), запуск которого приводил к выполнению PowerShell-команды, которая обеспечивала загрузку и отображение документа-приманки, а также загрузку, обеспечение персистентности (ветка „Run“) и запуск EXE/DLL файлов.

Известно, что в качестве программных средств реализации киберугрозы, среди прочего, использовались следующие: SECONDBEST / EMPIREPAST, SPARK, CROOKBAG (лоадер на GoLang). В то же время, в нескольких случаях злоумышленниками, с целью длительного похищения документов, также было применено RSYNC.

Исходя из результатов исследования ряда связанных кампаний, имевших место в период с июля 2024 года по февраль 2025 года, группировкой осуществлены целевые атаки в отношении предприятий-поставщиков из Сербии, Чехии, Украины (заметим, что география объектов атаки гораздо шире). Вместе с этим, только в течение августа 2024 года в фокусе находились не менее двенадцати логистических предприятий Украины, специализирующихся на грузоперевозках автомобильным, воздушным и морским транспортом (в том числе, опасных и скоропортящихся грузов). При этих обстоятельствах, с начала января 2025 года по 20 февраля 2025 года, проведены кибератаки в отношении четырех украинских предприятий, специализирующихся на проектировании и производстве техники для сушки, транспортировки и хранения зерна (в т.ч., строительстве элеваторов), а также, не менее двадцати пяти украинских предприятий, занимающихся разработкой автоматизированных систем управления технологическими процессами (АСУТП) и связанными электромонтажными работами. Поверхностный анализ портфолио и тендерной документации позволяет сделать вывод о том, что только компании-поставщики решений АСУТП предоставляют услуги сотням украинских предприятий, которые обеспечивают жизненно важные функции, такие как энергообеспечение (в том числе поставки тепловой энергии), водоснабжение и водоотвод.

На этапе первичной компрометации злоумышленники, под видом потенциального заказчика, в течение нескольких суток осуществляют переписку с потенциальной жертвой, подводя ее к необходимости ознакомления с «технической документацией» в виде PDF-документа с искаженным содержанием.

Indicators of Compromise

IPv4

  • 138.124.65.53
  • 138.124.94.174
  • 154.222.245.165
  • 185.220.101.104
  • 192.36.61.122
  • 212.237.217.78
  • 45.200.185.5
  • 51.222.43.200
  • 62.113.238.72
  • 62.133.61.95
  • 66.63.187.79
  • 82.208.23.192
  • 87.119.220.40
  • 91.232.31.178
  • 95.164.0.223

IPv4 Port Combinations

  • 192.36.61.122:443
  • 91.232.31.178:873

Domains

  • adobeprotectcheck.com
  • afi-ukraine.org
  • annualgieconferenceinmunich2024.com
  • calendar.stib.com.ua
  • cdnauthsoft.com
  • documentreader.net
  • documents-reader.com
  • ertel-audit.com
  • femundengerdal.no
  • furqaanenergy.com
  • gieannualconferenceinmunich.com
  • gurt.duna.ua
  • helpdesk.katolik.bydgoszcz.pl
  • namesilo.com
  • object-storage-service.com
  • onamae.com
  • ordertld.com
  • protectconnections.com
  • protectraid.com
  • publicdomainregistry.com

Domain Port Combinations

  • cdnauthsoft.com:443
  • protectconnections.com:443

URLs

  • http://66.63.187.79/Downloads/CV_DLymarenko_21.11_3.pdf.lnk
  • http://66.63.187.79/Downloads/CV_Vitaliy_Klymenko_22.11.2024.pdf.lnk
  • http://afi-ukraine.org/wp-includes/bestone.php
  • http://calendar.stib.com.ua/bestone.php
  • http://documents-reader.com/Downloads/
  • http://gieannualconferenceinmunich.com/Downloads/Agency.pdf
  • http://gieannualconferenceinmunich.com/Downloads/GIE
  • http://gurt.duna.ua/programy-nauczania/arst.dll
  • http://protectraid.com/Downloads/Resume.lnk
  • http://protectraid.com/Downloads/Resume.pdf.lnk
  • http://protectraid.com/Downloads/VASY.lnk
  • https://adobeprotectcheck.com/Downloads/zayavka.lnk
  • https://annualgieconferenceinmunich2024.com/Downloads/zayavka.lnk
  • https://documents-reader.com/Dogovir_Komel-1.pdf.lnk
  • https://documents-reader.com/Sample_Mugnaioni_Mil_Audit.pdf.lnk
  • https://documents-reader.com/Technicne_zavdannya_na_kompleksnu_avtomatizaciyu_objekta.pdf.lnk
  • https://ertel-audit.com/wp-includes/b1tuZmhqZXJbaGZkYmdhbmFkZmhyZmEK.php
  • https://ertel-audit.com/wp-includes/b1tuZmhqZXJbaGZkYmdhbmFkZmhyZmEKb1.php
  • https://ertel-audit.com/wp-includes/caramel.php
  • https://ertel-audit.com/wp-includes/GIE_Annual_Conference_2024_Participant_Form.pdf
  • https://ertel-audit.com/wp-includes/Zayava_pro_vitik_gasu.pdf
  • https://femundengerdal.no/wp-content/content/December/Load/
  • https://femundengerdal.no/wp-content/content/December/Original/Sample_Mugnaioni_Mil_Audit.pdf
  • https://femundengerdal.no/wp-content/content/December/Original/SSU/1/DOG_2210_GPL.pdf
  • https://femundengerdal.no/wp-content/content/December/Original/Technicne_zavdannya_na_kompleksnu_avtomatizaciyu_objekta.pdf
  • https://furqaanenergy.com/wp-includes/b1tuZmhqZXJbaGZkYmdhbmFkZmhyZmEK.php
  • https://furqaanenergy.com/wp-includes/b1tuZmhqZXJbaGZkYmdhbmFkZmhyZmEKb1.php
  • https://furqaanenergy.com/wp-includes/Text/November/Content/CV_DLymarenko.html
  • https://furqaanenergy.com/wp-includes/Text/November/Load/adobe.exe
  • https://furqaanenergy.com/wp-includes/Text/November/Load/bShark.exe
  • https://furqaanenergy.com/wp-includes/Text/November/Original/CV_DLymarenko.pdf
  • https://furqaanenergy.com/wp-includes/Text/November/Original/CV_Vitaliy_Klymenko_DA.pdf
  • https://furqaanenergy.com/wp-includes/Text/November2/Content/CV_Vitaliy_Klymenko_DA.html
  • https://furqaanenergy.com/wp-includes/Text/November2/Load/adobe.exe
  • https://furqaanenergy.com/wp-includes/Text/November2/Load/bShark.exe
  • https://furqaanenergy.com/wp-includes/Text/November2/Original/CV_DLymarenko.pdf
  • https://furqaanenergy.com/wp-includes/Text/November2/Original/CV_Vitaliy_Klymenko_DA.pdf
  • https://gurt.duna.ua/programy-nauczania/GIEAnnualConferenceStage2
  • https://gurt.duna.ua/programy-nauczania/GIEAnnualConferenceStage2;$eCRg
  • https://gurt.duna.ua/programy-nauczania/GTSvitikgasuStage5
  • https://gurt.duna.ua/programy-nauczania/ssowoface.dll
  • https://helpdesk.katolik.bydgoszcz.pl/bydgoszcz.php
  • https://helpdesk.katolik.bydgoszcz.pl/eliot.php
  • https://object-storage-service.com

Emails

MD5

  • 030bcd5ede911a4c12bace4d0695fdf1
  • 0704a0d3fcd27642501c728ab657a8b7
  • 071dbf736330847e5e805bf43b7f1195
  • 0c2c7e4a763b82bab716b258268946ce
  • 17318ec3e2b37fdd7cb6a9c94fa751e8
  • 185a67fe32619e12710fa28736338e2a
  • 194c51108976ba95d3f6552889c54e16
  • 218590db150c3d20d4f8a4c07a753354
  • 27200c13c0c96209c4563f8a0c64dcc0
  • 2a2a28ec5dbe0105fc1cc1e11e29ac11
  • 320a3c24fac0c7b9d57461a3c8f23940
  • 339e94bff01e66552e855e9ade023163
  • 38826c75bd837b23ec18a9f99de53430
  • 39cf9750a6ddd099525b05015a61078b
  • 3d1e28697422b13586979bff5d870aa5
  • 518fe9deb08cb41d14ac9a17114bc12f
  • 558ed2a75be9da451504b5ef33eed93c
  • 5cafa40555b799867c8c29a25fffd776
  • 5f1c24afbde25cb4eb7ced1f157ac7c1
  • 64f383b4406f10b07ac64e7b9a03c709
  • 6cbb9025a6560d3268074b2fb5d9573c
  • 7704657352305026118a3d230a4f2f1d
  • 8769179987eb2c24dc12246656812d19
  • 8a828fe189e84e6304d2cf0b60dca7aa
  • 9b8d846b10f26d47d2a6fb95c10e01f1
  • a0d83d71993c670b76c8e26be0ae13bf
  • a15f95b58098883533e018a0f90564bb
  • a688a15bb6016080f75a58e70109ef51
  • a77dea54343e0a7ab13ac9a70c74b411
  • ad899147a8ddb8ec7dbab5b6c5faa8df
  • b3027340c410015546407bb48c2f02db
  • bb83512962ad565bbb1eaefe370fee2d
  • c0098edb2bd1bce7768b20d75d66bc9f
  • c081a99e659c735f8fdd45b33e425e0b
  • c316169a57802651f82e1dec5001da1c
  • c9584929f8ff5b888def643a67c6faf1
  • cf47e49394188b692ae0c453de178798
  • de3e59c1680428ade600100cd37ec416
  • e4cfe8b91e5fd878e62914c2db54f029
  • e5e591ea972ce89e4cec68bbe655a95d
  • f04a8ca35cb667e3119a09a0d24e8556
  • f10913f016f4281a00661c5db4195842
  • f72184835ebb32c8c4cf099effe8cfa2

SHA256

  • 0a2a18aac9f5683d4a65e402e22503d1b20a736d12ac71d0f1eff2f9bc0788a8
  • 1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a
  • 2281e6acb309afa3be8215672f4e6902f37e24cd75a1ef3168183dd52e5ba7ad
  • 244e004ac7149e2631d68cba947cfd3d5d5352536ecb352c410b6e80e09d874a
  • 27e9b90ed2bb01f73e03b6526b6ad9411de78233dee7f76e8af7477cbccfe9ef
  • 28d2c70bb31fc2be17ff15f5c07eea5f373563970ec210b3af343444222ef167
  • 30f5db9a7982db6ac1a3f65f4eada76b24e9438c9cf733e7b0bc353e6c5c5a25
  • 31d01e1ad3fccc3c1294ddcb37ccbacd755f25e373d815feb5e741060dd9ee8e
  • 36db27f5eb3343cfc72d261d78da44957a49cb6731acb50a96ea5694f4d616c5
  • 4289e4f8348eebc79d376d33ce2b71581e1409ad7cfa3d8fa4adef001acd6d26
  • 44f35b1025bede25144484a9a27bb8127aa89a89b162df0d6810f9d39ecacf35
  • 4a302c0ed3c47231bc7c34cf2d41bc0ceb60d9c7b0023df015f75a58853f43d2
  • 5365eb873b3cf06015490eae0ed364ab08a913bf642d5f9043f3f0aed45d9588
  • 574af0bac6037364a9a333605c95b98856881906df62bda03bc15d5b97323a14
  • 5c94e27f96c84d63573510fae4a0d37668efd5402e8c9254820de4be9ac2008a
  • 616cf561124ce116e4b61a26e5d2fb4ba68126ba6f3df9a66e71f57f6914292e
  • 7168a249f203b7bb4ee91a6e08acef5e3a1231c43c0fa9c2c4c43920522fbd1b
  • 7f6c6bfe7aaac358ba6ba6b4c4310d3f22ae5562f1876db8d92235d0cc3857ca
  • 806b5269e7aa9c2c82ce247b30a3e92a4f7285b21e2bcf54c8ffad86bd92ea68
  • 87bd7f928b804f450a7f2a7d015c71eeefeff7ac6ef9920d49ddd0ef1a2a1fb9
  • 87f692fcfcc4bf11385a4e11cd1578b5b40baefaf56071005e87e91edd10caf7
  • 8f51f8d5c5c4c3496af197dbfb99167af77b0d9b434297d70df5ecd7a167f74e
  • 9365c3f24deb42aed4bd575739aceec40c2e97fef1603c0499887571553464bf
  • 958006c2be14c75ac32c92bb0ff0b71d4b94e9e0f358335ed976952abb772eb0
  • 9787a08d36f0fa3cfaac98ad7b1c7e1cd0f734dd357c9c6fd48568b631ecec37
  • 9bdf252eec4cf8a32cd92be3568e6187e80a80ecc5c528439312fb263cda8905
  • 9caaa34fa5fab572695f49cc496820dc5e4df6d8866b3f89a49e2dab1a6f85d2
  • a17dc4cb60f398a8880b0a08535b405f546153ad100c381d1c3cc6861f6c0746
  • a42058b9d627c20bb78151708328ab5fa01e13a663013a098c221e8d74e488e0
  • a7c9d719d640644eceb76fbb8821dc640448417a0212ce71ba57fcccd3dda444
  • ac71520a18fa7fd5f67d8cb8800c732a3c78bb1e0815bcddfbc120bf9ca86d96
  • b53cf86e6860294fd6731f7db990d7d0f2329893d83f17934836207cf361062f
  • b8d97d29e99e1f96e06836468db56855dc09305e3ed663c720fe700ea4bf6e73
  • be248363c78f66fda1814f6a56332f92001c15b9f693763ec241ae1e2308624a
  • bf3b92423ec8109b38cc4b27795624b65665a1f3a6a18dab29613d4415b4aa18
  • d1229e52b7fc4b3fe62843b07ea6c5a132e5dbe5a797102b9bc3214e49c59642
  • d4daf30ceee80c4f639f3aff6abeb95e7fbf11e125fb90f8972b7a92e22d22e5
  • d820357076dbe40c41c2925fc25bdd4ab2cb20e41194d1a2cf7c477f99e2f0e0
  • e9bf38e729ecbd3172fc3299ae1c3d68e6799c63920a887f534f1c39760b744f
  • f00c33c89c8468f112a9d54888eb37087e82b0732b7e587371426bfaf397eefa
  • fb63f962fc3adf2acc691f2d01d2765f11ac784b46ea1bdf23a192845f67f993
  • fc21c8281810ae89a236de986a79ff67cd81136d026daf138343c16b1e94a941
  • fc609eb7870597eac2d7bab1b203003da7e2e6174a70347dea8b43ab4a573f44
Комментарии: 0
Похожие записи
0
21 час
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
21 час
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает