Кібератака групи APT28 із застосуванням шкідливої програми CredoMap_v2 (CERT-UA#4622)

Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від учасника інформаційного обміну отримано електронний лист з темою “Кібератака”, надісланий, начебто, від імені CERT-UA із вкладенням у вигляді захищеного паролем RAR-архіву “UkrScanner.rar”.

Встановлено, що згаданий архів містить одноіменний SFX-файл, який, у свою чергу, містить шкідливу програму CredoMap_v2. Відмінність цієї версії стілеру від попередньої полягає у використанні протоколу HTTP для ексфільтрації даних. За допомогою HTTP POST-запитів викрадені автентифікаційні дані надсилаються на веб-ресурс, розгорнутий на платформі Pipedream.

Активність асоційовано з діяльністю групи APT28 (UAC-0028).

CERT-UA вжито заходів з блокування ресурсу. Разом з тим, у разі отримання подібних листів, просимо негайно інформувати.

Індикатори компрометації

Файли:

87b05a2442146a517e6aa1da5db8ae27	8724ec45a26dd07023e755cbf2a3c02548f719a63d0ffbfc42954f2b4f7c1405	UkrScanner.rar
721521273d12775eb6518c0eeaeeac8b	d1839e491b34764fbd9f51895b639a97bc7d5a1ef8f57ba87545f8b3b9bc7e7a	UkrScanner.exe (SFX)
d3b3aa56f1056df4c32cd2bc477e513b	778eed2fb4bbce4755cdf923f3fddc16155a478b44f90dc613ed2811a8efe066	scan.exe (CredoMap_v2)
56a504a34d2cfbfc7eaa2b68e34af8ad	9309fb2a3f326d0f2cc3f2ab837cfd02e4f8cb6b923b3b2be265591fd38f4961	SQLite.Interop.dll (легітимна DLL)

Мережеві:

mariachandran@ginaengg[.]com
69[.]16.243.33 (Received)
hxxps://eo2mxtqmeqzafqi.m.pipedream[.]net
eo2mxtqmeqzafqi.m.pipedream[.]net

Рекомендації

1. Для розповсюдження шкідливих програм, посилань тощо зловмисники використовують актуальні теми та скомпрометовані електронні адреси співробітників державних органів України. Наголошуємо на необхідності бути пильними (наявність у листі паролю до вкладення – приклад однієї з ознак потенційної загрози).

2. Для обміну інформації про кіберзагрози CERT-UA використовує платформу MISP (https://cert.gov.ua/article/39962), а також електронну пошту із застосуванням елекронних цифрових підписів.

3. Запуск сторонніх виконуваних файлів має бути блокований на рівні механізмів операційної системи і/або засобів захисту.

Графічні зображення