Vermin APT IOCs

CERT-UA в непосредственном взаимодействии с Центром кибербезопасности ВСУ (ЦКБ) выявлена и исследована активность группировки UAC-0020 (Vermin), направленная в отношении Сил обороны Украины.

Vermin APT

В качестве средств реализации киберугрозы использован известный с 2019 года инструментарий - вредоносное программное обеспечение SPECTR. При этом, для выгрузки с компьютера похищенных документов, файлов, паролей и другой информации использован штатный функционал синхронизации легитимного программного обеспечения SyncThing, которое, среди прочего, поддерживает установление peer-to-peer соединения между компьютерами.

Для проведения кибератаки жертве отправлено электронное письмо с вложением в виде архива «туррель.фоп.вовчок.rar», защищенного паролем. В указанном архиве находится RARSFX-архив «туррель.фоп.вовчок.sfx.rar.scr», содержащий файл-приманку «Wowchok.pdf», ЕХЕ-инсталлятор «sync.exe», созданный с помощью InnoSetup и BAT-файл «run_user.bat», предназначенный для первичного запуска.

В свою очередь файл «sync.exe» содержит как легитимные компоненты программы SyncThing, так и файлы вредоносных программ SPECTR, в том числе вспомогательные библиотеки и скрипты. При этом, штатные файлы программного обеспечения SyncThing частично модифицированы с целью изменения названий каталогов, запланированных задач, отключения функционала отображения сообщений пользователю и тому подобное.

Краткая информация о модулях SPECTR приведена ниже.

• SpecMon - вызывает PluginLoader.dll, который, в свою очередь, обеспечит выполнение всех DLL-файлов, которые содержат класс «IPlugin».
• Screengrabber - обеспечивает изготовление снимков экрана каждые 10 секунд при условии, если окно программы содержит такие названия: «word», «excel», «wps», «office», «notepad», «gram», «signal», «wickr», «wire», «threema», «viber», «whatsapp», «skype», «silence», «session», «adamant», «discord», «confide», «chrome», «mozilla», «edge», «vpn», «tor», «bat», «mail», «почта», «почта», «почта», «диск», «disk», «drive», «box», «crypt», «wallet», «wallet», «coin», «money», «подключение к», «remote», «1с: enterprise", „1с:предприятие“, „1с предприятие“, „1с предприятие“, „1св“, „1св“, „faststone“, „foxit“, „pdf24 reader“, „anydesk“, „яндекс с“, „браузер“, „просмотрщик“.
• FileGrabber - с помощью robocopy.exe из каталогов %USERPROFILE%\{Desktop, MyPictures, Personal, Downloads, OneDrive} и %APPDATA%\DropBox осуществляет копирование файлов с расширениями: «.one», «.pdf», «.doc», «.docx», «.docm», «.xls», «.xlsx», «.xlsm», «.ppt», «.pptx», «.odt», «.odm», «.ods», «.odp», «. cdr", „.jpg“, „.png“, „.bmp“, „.eml“, „.tiff“, „.txt“, „.zip“, „.rar“, „.7z“; дополнительные аргументы: «/S /COPY:DT /R:3 /W:5 /XO /MAXAGE:%MAXAGE% /MAX:5242880».
• Usb - с помощью robocopy.exe со съемных (USB) носителей осуществляет копирование файлов с расширениями: «.pdf», «.doc», «.docx», «.docm», «.xls», «.xlsx», «.xlsm», «.ppt», «.pptx», «.odt», «.odm», «.ods», «.odp», «.jpg», «.png», «.bmp», «.ogg», «.wav», «.mp3», «.mp4», «.txt», «.zip», «.rar», «.7z».
• Social - осуществляет похищение конфигурационных (аутентификационных) данных мессенджеров: Telegram (tdata), Signal (databases, Session Storage, Local Storage, sql, config.json), Skype (Local Storage), Element (leveldb).
• Browsers - осуществляет похищение данных (аутентификационных данных, данных сессий, истории) Интернет-браузеров браузеров браузеров: Firefox, Edge, Chrome (в т.ч., «Chromium», «Google», «Google(x86)», «Opera Software», «Amigo», «Orbitum», «Yandex», «Comodo», «Maxthon3», «Brave-Browser»).

Следует заметить, что похищенная информация копируется в подпапки в каталоге %APPDATA%\sync\Slave_Sync\, после чего, с использованием штатного функционала синхронизации легитимной программы SyncThing, содержимое этих каталогов попадает на компьютер злоумышленника, чем и обеспечивается эксфильтрация данных.

С точки зрения сетевых индикаторов (на случай уверенности в не использовании упомянутой технологии санкционированно), принимая во внимание установление peer-to-peer соединения, среди прочего, рекомендуем обращать внимание на признаки взаимодействия с инфраструктурой SyncThing: *.syncthing.net.

Indicators of Compromise

Domains

• crash.syncthing.net
• data.syncthing.net
• syncthing.net
• upgrades.syncthing.net

URLs

• https://crash.syncthing.net/newcrash
• https://data.syncthing.net/newdata
• https://upgrades.syncthing.net/meta.json

MD5

• 076586ea295ad521e7dc793a5a2c38b7
• 09570ab8f371adf8893c7e0da786cd2e
• 251d8e41f89e5807140b786c89723d4c
• 2666479686a91389afc44a02ee70038e
• 2d1814ea39c8b33db1394dd2bf8e4a2a
• 30a590611403c94c41289ab68b56ca48
• 39534c1234b3dbfe37b774b967cfb4ee
• 45a58147de34d9d3029b62ac48636f26
• 471bdb3bb2807636f56fb238e6a2e047
• 49c40fb4f001a9b267b799f6d0b18500
• 52df00ffcb487f4967c480bc425376ba
• 5aaa6594f0249df48190568edfcc01ef
• 63892a6d1eccbaf0edd7cd55654e0150
• 64b378abcd1bb4f2d064dbbe72570d3e
• 74874b31fcddef67d98cac666d86d375
• 83811960db65d0d430062ad1ff92b7ca
• 8761d7bce160c25d9b2f1d0a72ad89a4
• 8f3125d49dd0e38e2fd7a1351281005e
• a1199e11d307e2c649c4b2487297896d
• a816830220abe0cc2e3877eeadae0580
• aeda6f2d3669fb0d30b3e21437405d81
• b283b1d1e746ccc6112ef85a6d2d73ef
• b51d8875e2502704416209c9eb46edf0
• bb38d0bf2246ed55b46dd61dcf5693a6
• bd335dad7c46ec91d2816b5a0ca6d29a
• cd4bc0795ce5d04efc0a7644d8ff6159
• d70e7aa26e5b90b971aaa5e16017249c
• debf2157d6192ac4d5be67104f7ba312
• e508a05a71d29688b7916429894c09d5
• ebe83a11b39bfd848fa557a79f2dff1b
• f357833157928395b65e9d17b26dee0e
• f3a89edd5efe3a9269b4697ff3b386be
• f6e436ad88fdf391b960ff28df25e80b

SHA256

• 00b3599f4bb48e2599f953191d526da432c280d5ae5bc43392eb37352fde5cb2
• 0a43d77c67c0ff31660a19e69cdb26e55b5322cf63b51a97d4de0c4b48f78841
• 0ad1cf00eed24ab07765d3670d1c8394b3d232f58bf939b69ada9e88c45b4b03
• 117078cd63225cfed7cbe4bc4c2ffed6db4d4bd93bf353a87cc10fb05cc0151c
• 1cc0257d93b4d1c0b3bb5c923c2997f222d271591addbd2da0da019dbb5fe579
• 29d9cc9a79750c6c1a3052317fb172b9d76a7044b94cd1da3be00ace748a9878
• 2b6622cc433aff6cb4bc582c7bc3bffc09e0fc6f0e1a97bab17485058bdcf3c9
• 456732417161a749541bbc4016c9334a01ff3b209c29bc3995f3589dccb80f31
• 48adf2450c4ae087c1c4982a2a789d8f1b1e88b8d959fb26db273a76ef8b1888
• 4c4db56997d9a44cfc5a03f3b401f96d6890a56cd32146c5605f159a97112df9
• 4d3c48917973daaf7e31aeab167e4611c60feed29bae25303c0543824bef027c
• 5ef47edc207e404c57ac83e2b55fb0b7c1687d721f26fc7a5a6e5294b28a2f6f
• 67571ad65881dd4feb309c22f8e508da40bbf4f573fd97c45265394ac5b06659
• 6a13b98c7dc82ea2a492c0022fd93fa97247912dfa8ad5f015fb4b50e6c05fbb
• 711100e90de58762aa121a5f4a5fc50f1efc05499f1ee63b6bc1e3d479eb4c69
• 7198094549e30b8bff6865ce364e48dc324d92f2346dec9b0ce6664921c21888
• 806db134f3b9db4a58dd8ff65498d2841f645ef7252857e57c46cd6680edcec7
• 87f73bc1762913e46d4dad6464f92d0d3e3c785da4cc30a24460601a3ceed970
• 892a45e8adc92eb281a8f4cdba824cd69134bcb8378977747998b87c5a7fdec8
• 8cccf28333d822da6b5d851ae4cb188fed6dd27a3046627c7a32850c9d959124
• 9221c2f936159b8446d329249fb4c0f25be510f447383a0f13336ac7985668a3
• 9b3994f395309b0fb4db23e66d8de822b47cd9d4c9544bc48ed0e0fa082251b0
• b05c65897fc449760fa5867e436205313448007e904e02aa77c0733a21d15bb2
• b452b0043533625da67e687c6050e9475d1a83337fa2b64735fc9a248179df10
• b4d4e2602cd6c5286be56b71a8659dff380eafd4bf65b61268b5d29a2bd6c52b
• bef8cf172fd4535738e3aa06a9c303f93c83a4da0053aba4cbea986729d4620b
• bf62d5e034b4ce4fd122ab72fa388ea461fd6e5f317ad3274fe847a526c00282
• bf895dca1ea67bf39a6bd87168af8d4fdfd6321d2f2d071295dbd4d25508eb68
• c208408170c429af873849cecc4b7553598ba5a70fce7616e6adca66cfeb8d75
• c3ac906b3228c4c9ce3dd0e46b6c5b0bed4dacd61911dc006730a31f90f424c7
• db1e53f9b03363d595c9daf1eaafd1d851b5d984af9e4062204f18746b012d37
• f8b696ae1011f6c5457eea1e215da81e85aef1b1a62c56dce3606e0512afdbb4
• fbd8883e659d8082fe8e1ee15de12e2b710fd4c92d8d72b2cf34befcdc5be7fb