Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Первичная компрометация обеспечивается путем распространения электронных писем с вложениями в виде XLS-документов с макросами (расширение «.xlsm»), названия/темы которых могут касаться вопросов разминирования территории, административных штрафов, производства БПЛА, компенсации за разрушенное имущество и тому подобное. При этом, «полезная нагрузка» представлена в виде base64-кодированных строк, хранящихся в ячейках Excel-таблицы. Упомянутый макрос обеспечивает преобразование (декодирование) base64-кодированных строк в исполняемые файлы, их сохранение на компьютер без расширения и последующий запуск.

По состоянию на апрель 2025 года известно о двух видах программных средств реализации киберугрозы.

• Первый - .NET-программа, в ресурсах которой хранится PowerShell-сценарий, функционально являющийся reverse-shell'ом, заимствованным из публичного GitHub репозитория PSSW100AVB.
• Второй, классифицированный как GIFTEDCROOK, С/C++ программа-стилер, что, среди прочего, обеспечивает получение баз данных Интернет-браузеров Chrome, Edge, Firefox (Cookie, история, сохраненные аутентификационные данные), их архивирование с помощью PowerShell-командлета Compress-Archive, и дальнейшую эксфильтрацию в Telegram.

IPv4

• 149.102.246.110
• 37.120.239.187
• 89.44.9.186

IPv4 Port Combinations

• 37.120.239.187:6501
• 89.44.9.186:3240

MD5

• 037e2ca3c97e1a5645cdc45fb0d98064
• 0a178f76c48c038e8bad03a62b52cfc9
• 100cd9d907e986ba8d5fc6d0488557d9
• 1b71d870f34587e0a2717f9925086eab
• 333b09f8865aae5d257b6f11f2fe5d08
• 3394fc2ba0a976818691751aa7f86d05
• 4a2ec9f72b910c0a8e3efc4c334f5bad
• 671b42e854ae2ee3341456fbec7c7787
• 8b694068e5088e0c32739956e28b077e
• 966373dbe28f4111f6ce47038fb343da
• 9c03d0da190d1046583ba9fa83a8bcd3
• 9f6c82c240ba5ef6bb85d28c0cdf7f7f
• b3831f0bace886aaba81873edc20aba4
• b63b783a9aca15726babd599d2963869
• cffdd24742610fe5710dbc9ebd258c64
• d280a258704bf9155bceaf4f731988ea
• daffbfd71f8595ab6d6b8c94cc81a778
• e5f4188682e40e79800ccd165289c844
• f62ea2cbd220596072010e91dd65b673

SHA256

• 0a4777725673f9f7114ddceddd80e5a72ad3a4d20fd2014d4c60e2cc1a6cefc2
• 24a60e50ed8469fc31afa9abfc361291f72922430cf062bf9c4ac7e6d84b5fad
• 2930ad9be3fec3ede8f49cecd33505132200d9c0ce67221d0b786739f42db18a
• 40e68d7240e692ef3301cfaa92a04e0af65f2d725cbfa6711c3154b627fec0f1
• 530185fac69e756fb62f23e21e7c0b0828a964b91bbf40f1d04fc2136c1b6dd1
• 58b38775f655498b134ce8cd52ab0aba05b710f7611e41cbdffdc3597c5d5f3d
• 78ea83bfbca85a39e59fa35c8f704873f3fdad3a5278430e75286247530042b8
• 7ca3f2505e1778e6de3927571ba49d27b36447e6c28a60161d55fd2254966bce
• 8427dc6e7da4c163d20c7f188232cf3f83c78ddb6fcad04cec84b33e0f9bdfc0
• 8a638a788adb0edb6622b16fd8783bc225470f8ff94b1bba4a94b4d8c105acef
• 92183f89b115881535b1bf1985f3ee4b4ebf077bec8cc4de0c6c6e266da0cb87
• a02506468e632875a2c9c9c16e730b8bdc52f7450b28ee7bd8f5ac014b264e53
• a2f651d39b8d97221ad36577e9b50beabdf0ad46aec0c29b6cff624e1e2ffd0c
• c27cf714293c496c8fc05b330a57bcfcb6189267e2818062660de88b0f3a25cd
• c8bb0dbc952c9dc2bbc550a300ed033ad5d2416390891ed1e800b08ad3ab5d3a
• d7a66fd37e282d4722d53d31f7ba8ecdabc2e5f6910ba15290393d9a2f371997
• e852d254395ef04308bcde37c3ee9725ab23ca82a202e7d69028c8bee0f0d05f
• f8a31715840852e8ef04016b31f909123f2aa864f3850c45eb511fd1885b4037
• ff1be55fb5bb3b37d2e54adfbe7f4fbba4caa049fad665c8619cf0666090748a