Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 21.07.2023 та 24.07.2023 зафіксовано чергові атаки угрупування UAC-0006 із застосуванням шкідливої програми SmokeLoader.
При цьому, зловмисники застосовують ZIP-поліглот, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів відкрито. У разі застосування WinRAR згаданий ZIP-поліглот міститиме ZIP-архів з розширенням «.pdf», в якому знаходитимуться JavaScript-файли (21.07.2023) або ZIP-архів із розширенням «.docx» (24.07.2023), що містить виконуваний файл «Pax_ipn_18.07.2023p.jpg», JavaScript-завантажувач «2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js» та SFX-архів «1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe» з файлом-приманкою «document_payment.docx» (копія «Платiжна iнструкцiя Приват_банк.docx») та BAT-скриптом «passport.bat», призначеним для запуску «Pax_ipn_18.07.2023p.jpg», що є копією завантажуваного «weboffice.exe».
Враховуючи розмір ботмережі (більше 1000 комп'ютерів), можна стверджувати, що для масового розповсюдження електронних листів застосовуються скомпрометовані автентифікаційні дані, отримані з вже уражених ЕОМ.
Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування.
Керівникам підприємств і/або безпосередньо бухгалтерам наголошуємо на необхідності убезпечення автоматизованих робочих місць, призначених для формування, підписання та відправки платежів шляхом застосування програмних засобів захисту, обмеження можливості запуску раніше згаданих штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрації вихідних інформаційних потоків.
Інформацію щодо індикаторів компрометації можна отримати в інформаційних повідомленнях CERT-UA#6613, CERT-UA#6757, CERT-UA#6999.
Індикатори кіберзагроз
Файли:
| dcb2c6ca06b00689632a36fce3b09ee9 | df6a88f5ace3b06119c30539048a2d8724c511de287a43201c610ef236ca64b8 | Видаткова_накладная_№121_вiд_18_липня_2023p.zip |
| 772e3f83b5aa7ffb1842e08779b3f472 | 0d910dac90a30dec52c6484bd7087f4a1d55d827a093a2f43c9dfe59a082aab9 | Видаткова_накладная_№121_вiд_18_липня_2023p.pdf |
| faaf2b2088116b215ba632a919054724 | 890959904a520f2d99b2aee5763fec2a5cd0e490657aeed9e0a7a9ae60dde517 | Акт_звiрки_вiд_18_липня_2023p.pdf.js |
| 42f08f682c42869cde79859051d37064 | ccf57eff80d10c7a3d6236802e91d4f60fbe68a8cca21d670ffdb7c6c6cb897b | weboffice.exe |
| 1a065074fcc0d48847e32f38892b3c12 | c7059b122cb73d565d30d16ad97bdd412ea9f47292a5e3a30298c1ba5041290c | smoke.exe (SmokeLoader) |
| 709e041b063eec4252c56262eb508f8f | a512209933998bcd0a07a16af04aa7fd05e3c23103978ad250a7e1cb249d4baa | Видаткова_накладная_№121_вiд_18_липня_2023p.pdf.js |
| 77ed82231cb866431254a1c57d19f52f | b8a4c70fe729cbce02dc67b18ee0f8397834cd2067664363617567a255427242 | Список_рахункiв_до_оплати_вiд_12.07.2023.pdf |
| db6bd918c27d270a1e9184d8527ba0f8 | 349ea50d43d985a55694b440ca71062198a3c7a1f7764509970d37a054d04d2a | Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.zip |
| b7bb3ca2607c91ee010e641da39e76d5 | 2010d6fef059516667897371bea5903489887851c08e0f925a5df49731ec9118 | Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.docx |
| a7ad7d4f8c8fcee4fa2f3d00efc189d4 | fb7b8a4c761b04012aa384e35b219e1236dfb6639a08bddc85cd006f0ca92d9f | 1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe |
| 764a96c880ac2cec57ad70a5b90e4aee | 27eda43b4fff19cc606f87414705cefa7271bd8f998176c2b49a5fc35bee5c21 | passport.bat |
| f24e6fa4773f5e8da55a0f1a6dce80de | adebbe0faf94f6b0abff96cf9da38d4c845299c7fde240e389553bf847e3d238 | 2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js |
| 5789253a953bf202f65646e25a66bdb8 | 185b82b06a5bc2ccb5643440227293c7fa123216f7abfb685bdc0dc70dffdc37 | Pax_ipn_18.07.2023p.jpg |
Мережеві:
194[.]87.32.152
hXXp://ukr-net-downloadfile[.]su/summary/php/form/name/267856437856374568797257305680384563486589345630856730443317231095623053892649181649624634323436573846539045738975836746573657389457386/file/видаткова_накладная_№121_вiд_18_липня_2023р.html
hXXp://mediaplatformapharm[.]ru/officedownloadfile/weboffice.exe
hXXp://tvpharm[.]ru/officedownloadfile/weboffice.exe
hXXp://abracodabugalimpopo[.]ru/
hXXp://cityofuganda[.]ug/
hXXp://coinmakopenarea[.]su/
hXXp://gondurasonline[.]ru/
hXXp://goodlenuxilam[.]site/
hXXp://hillespostelnm[.]eu/
hXXp://hopentools[.]ru/
hXXp://humanitarydp[.]ru/
hXXp://infomailforyoumak[.]ru/
hXXp://jimloamfilling[.]online/
hXXp://jslopasitmon[.]com/
hXXp://kilomunara[.]com/
hXXp://kismamabeforyougo[.]ru/
hXXp://kismamabeforyougo[.]su/
hXXp://kissmafiabeforyoudied[.]ru/
hXXp://krasavchikoleg[.]net/
hXXp://maxteroper[.]ru/
hXXp://nabufixservice[.]su/
hXXp://nafillimonilini[.]net/
hXXp://napropertyhub[.]eu/
hXXp://sismasterhome[.]ru/
hXXp://supermarioprohozhdenie[.]ru/
hXXp://vertusupportjk[.]org/
hXXp://zaikadoctor[.]ru/
hXXp://zaikaopentra-com-ug[.]su/
hXXp://zaikaopentra.com[.]ru/
hXXp://zalamafiapopcultur[.]ru/
hXXp://zallesman[.]ru/
hXXp://zarabovannyok[.]eu/
abracodabugalimpopo[.]ru
cityofuganda[.]ug
coinmakopenarea[.]su
gondurasonline[.]ru
goodlenuxilam[.]site
hillespostelnm[.]eu
hopentools[.]ru
humanitarydp[.]ru
infomailforyoumak[.]ru
jimloamfilling[.]online
jslopasitmon[.]com
kilomunara[.]com
kismamabeforyougo[.]ru
kismamabeforyougo[.]su
kissmafiabeforyoudied[.]ru
krasavchikoleg[.]net
maxteroper[.]ru
mediaplatformapharm[.]ru
metallergroup[.]ru
nabufixservice[.]su
nafillimonilini[.]net
napropertyhub[.]eu
sismasterhome[.]ru
supermarioprohozhdenie[.]ru
tvpharm[.]ru
ukr-net-downloadfile[.]su
vertusupportjk[.]org
zaikadoctor[.]ru
zaikaopentra-com-ug[.]su
zaikaopentra.com[.]ru
zalamafiapopcultur[.]ru
zallesman[.]ru
zarabovannyok[.]eu
Графічні зображення
Рис.1 Приклад ланцюга ураження 21.07.2023
Рис.2 Приклад ланцюга ураження 24.07.2023