UAC-0099 APT IOCs

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выявила серию кибератак UAC-0099, направленных на украинские государственные организации, включая лесные хозяйства, судебно-экспертные учреждения и заводы, в течение ноября-декабря 2024 года. CERT-UA относит эти атаки к попыткам шпионажа, отмечая развивающуюся тактику и технику злоумышленников.

UAC-0099 APT

UAC-0099 использует фишинговые электронные письма, содержащие дважды заархивированные файлы LNK или HTA, для доставки вредоносных инструментов, иногда используя уязвимость WinRAR CVE-2023-38831. После взлома системы программа LONEPAGE выполняет команды, причем последние атаки демонстрируют переход от одного VBS-файла к двухфайловому методу, включающему зашифрованный 3DES-файл и программу .NET, которая расшифровывает и выполняет код PowerShell в памяти.

Чтобы замаскировать и обеспечить отказоустойчивость своих операций, злоумышленники используют инфраструктуру Cloudflare. CERT-UA подчеркивает, что недостаточная организационная и техническая киберзащита в пострадавших организациях способствовала этим взломам, поставив под угрозу конфиденциальность государственных информационных ресурсов.

Indicators of Compromise

IPv4

• 160.119.251.83
• 172.86.117.53
• 45.61.157.118

Domains

• captcha-challenge.com
• newyorktlimes.life
• update.win.app.com
• webappapiservice.life

URLs

• https://captcha-challenge.com/message/[0-9]{20}/message[0-9]+/
• https://captcha-challenge.com/message/getsecretnumber
• https://captcha-challenge.com/message/message[0-9]+
• https://newyorktlimes.life/api/values/[0-9]{20}/[0-9]{20}/refresh[0-9]+/
• https://newyorktlimes.life/api/values/[0-9]{20}/refresh[0-9]+/
• https://newyorktlimes.life/api/values/refresh[0-9]+
• https://newyorktlimes.life/api/values/uid
• https://newyorktlimes.life/api/values/view/skan.txt

Emails

• [email protected]
• [email protected]
• [email protected]

MD5

• 04833a30808fcc118eed6a748b95fada
• 19391b5bd1455864dfbfb91f3fe9fcb2
• 34c68108eb2e381112ae0dfaba0c80c3
• 4d086e04009690245bbfc6125e4edf42
• 5c935fbb11100a738b4451a8d85f192f
• 92cbb147159f3a6225a3580046591d37
• 946ee0ca399acc84abfed9e41ab3cf80
• 9ad38f58f3a7d039d8c540365e1e3421
• 9b9552472a4e41df56662734be9d8ce0
• b21d0df863af16c39348238409e8bd9d
• b452c8eb4a4aee4978a10b1b9143d15f
• bd89dfb42612f5f7c9e28d81609aec8d
• c9735877c66597ed493e322bdb9bd30f
• e55118b29430970476d743c3993a143e
• e5f6ea0297f0f4773697c1675f05fc12
• eec19fca4cafc2980f077d934644578e
• f73ab22c63de6bbc08a8ddc1edf11270
• fb0c754f91836abee965a99cde137fcb

SHA256

• 025b9bdd156b59b18ab08921572501b6386ae45e8c0c0440855a719ae4b4c24a
• 0aaee2882e4a71b25de5722d8936c67d40355e2f79caf994c8e10164468d3272
• 0af76e87614126042a2c3409d273d606a4562f99cb9f003a9f9ec0596213a35a
• 0b16ee402ad04a673d61af43f461d475d1e3fcbdaf8714a1183ac35056bbae25
• 16f809cd9fb1a06f07bb947ea8b6a27f66cfca0947e29666c34ae7b35b6e471b
• 25e725e4be880354c42c008e0960ee67481229b299ff61c29c48a23939d9a041
• 322de3a4e1d356a7db22d6447807bd7576f91ed1910a57d9e8eb6f678ceb6ab4
• 4a42bfc95772e2f6ae58ccb37fe74b5e810f6c2973ec7a70e09884e1fe97e794
• 53f4e38d56946a385a681c66d891d3d70c2b2fee1691ff7e7af317955e0d8b88
• 5441cb26f32a433b0abd80dfa98a3a30c78df00ca9d2a0cfc5b20c55f3aaadce
• 6161be2016a1fd8096b6b43544eb5df97cd3fa73a820b5e0a44618389897d733
• 7a0ae128961a6239a2e10059305bb83fa64251bb3f0b44162ec6efdde10fd1e8
• 88b64a3eb0dc38e3f8288b977b1cd67af7d4ba959297ac48ef5f06bec3e77560
• 8cc89a917ed89a8407aa1e5caa4af585f26946124cf1764e3b178261a27177af
• d4eafc11cd0e4fe417c59db804ca6e8bd8bf9c0d0886627f15165937fcb68395
• eb08f96acba2b316408f66ef0c4f45a42eb207e43c605476405324726e97f9e3
• fa331a275d2f966f42a6168f1cb6fdb919d272b32175985c8bf383f2d800ced2
• fbc4fbb3c2926300ee820ff7044f35231c2a1aeeb74d1f49a6caaec7736739c6