Главная страница » IOC
0
1 год
IOC

UAC-0099 продолжает атаковать Украину

security

В мае 2023 года украинский CERT опубликовал рекомендацию #6710 об угрожающем агенте, названном "UAC-0099". В нем кратко описаны действия и инструменты угрожающего агента. С момента публикации CERT-UA в мае Deep Instinct обнаружила новые атаки, осуществленные "UAC-0099" на украинские цели.

  • "UAC-0099" - агент угроз, который атакует Украину с середины 2022 года
  • Лаборатория Deep Instinct Threat Lab выявила новые атаки этого угрожающего субъекта
  • Угрожающий субъект был замечен в использовании CVE-2023-38831
  • Угроза направлена на украинских сотрудников, работающих в компаниях за пределами Украины

UAC-0099

В начале августа "UAC-0099" отправил электронное письмо, выдавая себя за Львовский городской суд, используя почтовый сервис ukr.net.

Письмо было отправлено на корпоративный электронный ящик украинского сотрудника, работающего удаленно в компании за пределами Украины.

К письму прилагался исполняемый файл, созданный WinRAR - файловым архиватором и утилитой сжатия файлов для Windows, которая может сжимать файл в виде самораспаковывающегося архива (SFX).

После извлечения содержимого архива создается новый файл с двойным расширением, в данном случае docx.lnk:

Файл выглядит как обычный файл документа. Однако это ярлык LNK, замаскированный под файл DOCX. При ближайшем рассмотрении выясняется, что вместо значка DOCX в файле используется значок приложения "WordPad". При открытии специально созданный LNK-файл запускает PowerShell с вредоносным содержимым:

Вредоносный код PowerShell декодирует два блоба base64 и записывает результат в файлы VBS и DOCX. После этого код PowerShell открывает файл DOCX в качестве приманки, а также создает новую запланированную задачу, которая выполняет файл VBS каждые три минуты.

Вредоносная программа VBS получила в CERT-UA название "LonePage". При выполнении она создает скрытый процесс PowerShell, который связывается с жестко закодированным URL-адресом C2 для получения текстового файла. Остальная часть кода PowerShell выполняется только в том случае, если ответ от C2 превышает один байт. В этом случае сценарий PowerShell проверяет, включена ли в текстовый файл строка "get-content". Если строка присутствует, то сценарий выполняет код с сервера и сохраняет его в виде массива байтов. Если строка отсутствует, сценарий выполняет комбинацию команд внутри текстового файла с сервера и некоторые жестко закодированные базовые команды перечисления, такие как "whoami:".

Независимо от ответа C2, результаты выполнения команд из txt-файла или жестко закодированных команд отправляются обратно на тот же C2-сервер. Однако они отправляются на другой порт методом HTTP POST.

Документ DOCX - это приманка, чтобы обмануть жертву и заставить ее думать, что она открывает легитимный файл DOCX, содержащий повестку в суд, а не вредоносный файл:

В начале ноября был замечен еще один случай этой кампании с использованием другого адреса C2 - 196.196.156[.]2.

Поскольку угрожающий агент контролирует содержимое файлов "upgrade.txt", он может изменять его в соответствии со своими целями. Поэтому содержимое не всегда одинаково и может варьироваться.

Следующий код был замечен в качестве ответа от сервера C2 в 2023-11-08 14:50:30 UTC.

Этот код PowerShell отвечает за создание снимка экрана. Как упоминалось выше, VBS LonePage отправляет результаты обратно на C2, позволяя угрожающему агенту выполнить любой код PowerShell на зараженном компьютере и получить ответ обратно.

В конце ноября 2023 года был замечен еще один экземпляр кампании, использующий адрес C2 2.59.222[.]98. В этом случае ответ полезной нагрузки с сервера C2 совпадает с тем, что было описано как "разведывательная" деятельность в pastebin.

Документ-обманка представляет собой PDF-файл, а не DOCX. А вместо обычного документа о вызове в суд в PDF-файле изображен размазанный документ:

В отличие от вектора атаки LNK, описанного ранее, в этой атаке используется HTA. Метод HTA похож, но есть заметные отличия. Вместо LNK-файла, вызывающего PowerShell, HTA-файл включает HTML-код, содержащий VBScript, который выполняет PowerShell. Также отличается периодичность выполнения запланированных задач - они запускаются каждые четыре минуты, а не три, как в предыдущих случаях.

В то время как CERT-UA сообщила в своем совете, что HTA-файл подбрасывает HTML-файл в качестве приманки, Deep Instinct обнаружила аналогичный документ-приманку DOCX с судебной повесткой, как и в цепочке LNK.

В обеих атаках, описанных ниже, "UAC-0099" использовал известную уязвимость WinRAR, выявленную Group-IB и отслеженную до апреля 2023 года.

Уязвимость связана с тем, как WinRAR обрабатывает ZIP-файлы. Эксплуатация требует от пользователя взаимодействия со специально созданным ZIP-архивом.

Вот как это работает: злоумышленник создает архив с доброкачественным именем файла с пробелом после расширения файла - например, "poc.pdf .". Архив включает в себя папку с таким же именем, включая пробел (что невозможно в обычных условиях, поскольку операционная система не позволяет создать файл с таким же именем). В папке находится дополнительный файл с тем же именем, что и у доброкачественного файла, включая пробел, за которым следует расширение ".cmd".

Когда пользователь открывает ZIP-файл, содержащий эти файлы, в непропатченной версии WinRAR и дважды щелкает на недоброкачественном файле, вместо него выполняется файл с расширением "cmd".

Уязвимость может привести к увеличению числа заражений, поскольку атаки так хорошо замаскированы; даже подкованные в вопросах безопасности жертвы могут поддаться на обман. Ожидая открыть безопасный файл, пользователь может случайно выполнить вредоносный код.

POC для уязвимости можно найти на GitHub. Исправленный WinRAR (версия 6.23) был выпущен 2 августа 2023 года.

Deep Instinct обнаружил два ZIP-файла, созданных "UAC-0099" 5 августа 2023 года.

Вредоносный файл "cmd" отличается в двух файлах, каждый из которых содержит разный путь C2 URI.

Время модификации между двумя файлами составляет всего две секунды, что указывает на то, что, скорее всего, файлы были созданы автоматизированным способом. Это, а также тот факт, что UAC-0099 начал использовать уязвимость через несколько дней после выхода патча, говорит об уровне изощренности злоумышленников.

В то время как Google TAG выявил несколько российских злоумышленников, использующих уязвимость для атак на украинские цели, деятельность UAC-0099 в их блоге отсутствует.

Задание CVE и блог Group-IB об уязвимости были опубликованы после того, как "UAC-0099" использовал технику атаки, что указывает на то, что они, скорее всего, знали, как ее использовать.

В качестве приманки в этой кампании снова использовалась тема документа "вызов в суд".

Indicators of Compromise

IPv4

  • 147.78.46.40
  • 196.196.156.2
  • 2.59.222.98

SHA256

  • 0aa794e54c19dbcd5425405e3678ab9bc98fb7ea787684afb962ee22a1c0ab51
  • 0acd4a9ef18f3fd1ccf440879e768089d4dd2107e1ce19d2a17a59ebed8c7f5d
  • 2a3da413f9f0554148469ea715f2776ab40e86925fb68cc6279ffc00f4f410dd
  • 2c2fa6b9fbb6aa270ba0f49ebb361ebf7d36258e1bdfd825bc2faeb738c487ed
  • 38b49818bb95108187fb4376e9537084062207f91310cdafcb9e4b7aa0d078f9
  • 39d56eab8adfe9eb244914dde42ec7f12f48836d3ba56c479ab21bdbc41025fe
  • 4e8de351db362c519504509df309c7b58b891baf9cb99a3500b92fe0ef772924
  • 53812d7bdaf5e8e5c1b99b4b9f3d8d3d7726d4c6c23a72fb109132d96ca725c2
  • 54458ebfbe56bc932e75d6d0a5c1222286218a8ef26face40f2a0c0ec2517584
  • 61a5b971a6b5f9c2b5e9a860c996569da30369ac67108d4b8a71f58311a6e1f1
  • 659abb39eec218de66e2c1d917b22149ead7b743d3fe968ef840ef22318060fd
  • 6a638569f831990df48669ca81fec37c6da380dbaaa6432d4407985e809810da
  • 6f5f265110490158df91ca8ad429a96f8af69ca30b9e3b0d9c11d4fef74091e8
  • 736c0128402d83cd3694a5f5bb02072d77385c587311274e3229e9b2fd5c5af7
  • 762c7289fb016bbcf976bd104bd8da72e17d6d81121a846cd40480dbdd876378
  • 86549cf9c343d0533ef80be2f080a7e3c38c77a1dfbde0a2f89048127979ec2a
  • 87291b918218e01cac58ea55472d809d8cdd79266c372aebe9ee593c0f4e3b77
  • 8aca535047a3a38a57f80a64d9282ace7a33c54336cd08662409352c23507602
  • 96ab977f8763762af26bad2b6c501185b25916775b4ed2d18ad66b4c38bd5f0d
  • 986694cad425c8f566e4e12c104811d4e8b30ce6c4c4d38f919b617b1aa66b05
  • a10209c10bf373ed682a13dad4ff3aea95f0fdcd48b62168c6441a1c9f06be37
  • d21aa84542303ca70b59b53e9de9f092f9001f409158a9d46a5e8ce82ab60fb6
  • e34fc4910458e9378ea357baf045e9c0c21515a0b8818a5b36daceb2af464ea0
  • f5f269cf469bf9c9703fe0903cda100acbb4b3e13dbfef6b6ee87a907e5fcd1b
  • f75f1d4c561fcb013e262b3667982759f215ba7e714c43474755b72ed7f9d01e
Комментарии: 0
Похожие записи
0
28 дней
IOC

Head Mare и Twelve объединяют усилия для атаки на российские организации

security
В сентябре 2024 года российские компании стали объектами серии атак, которые обнаружили признаки компрометации, связанные с двумя хактивистскими группами - Head Mare и Twelve.
0
4 месяца
IOC

UAC-0099 APT IOCs

security
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выявила серию кибератак UAC-0099, направленных на украинские государственные организации, включая лесные хозяйства