Україна, Київ

Новини та події

Зафіксовано атаку на державні органи України з використанням веб-сайту, що імітує Офіційне інтернет-представництво Президента України

Зафіксовано атаку на державні органи України з використанням веб-сайту, що імітує Офіційне інтернет-представництво Президента України


У процесі дослідження інциденту встановлено, що з фейкового веб-сайту здійснюється розповсюдження шкідливого програмного забезпечення OUTSTEEL, призначеного для пошуку та ексфільтрації документів. Використання подібних тактик, технік та процедур, об'єктів атаки, а також використані зразки шкідливих програм, відслідковується, щонайменше, з квітня 2021 року. Станом на 15:15 13.07.2021 доступ до вебсайту заблоковано. Про це повідомляє Cert-UA.

Технічна інформація

Електронний лист, наданий суб'єктом координації, містить Google-посилання, відвідування якого призведе до перенаправлення (так званий URL forwarding) на вебсайт, що імітує офіційне інтернет-представництво Президента України (рис. 1).

Рис. 1. Веб-сайт, що імітує офіційне інтернет-представництво Президента України

У випадку відкриття гіперпосилання «Повний список високооплачуваних вакансій», на комп'ютер жертви буде завантажено файл “756285df0c8b81cf14ad3463a57d33ed.xll”(рис. 2), що є шкідливою програмою LOADJUMP, дата компіляції: 11.07.2021 (рис. 3).,

 

Рис. 2 Завантаження файлу “756285df0c8b81cf14ad3463a57d33ed.xll”

Рис. 3 Декодовані рядки шкідливої програми LOADJUMP

Шкідлива програма LOADJUMP призначена для завантаження і запуску файлів. В даному випадку, вона забезпечить з'єднання з URL-адресою http[:]//1833[.]site/0707a[.]exe, завантажить і виконає файл “0707a[.]exe”, дата компіляції: 09.07.2021.

Файл 0707a.exe є .NET програмою, яка забезпечить декодування і запуск шкідливої програми OUTSTEEL, що, в свою чергу, здійснить пошук файлів за визначеним переліком розширень (.txt, .7z, .tar, .zip, .rar, .ppa, .pps, .pot, .accdb, .mdb, .dot, .rtf, .csv, .xl, .ppt, .pdf, .doc)та забезпечить передачу цих даних на сервер управління з використанням протоколу HTTP. На рис. 4-6 наведено приклад контрольованого запуску файлу “0707a.exe” в ізольованому середовищі.

Рис. 4 Приклад запуску файлу ”0707a.exe” (похідні процеси)

Рис. 5 Приклад запуску файлу ”0707a.exe” (пошук файлів)

Приклад інформаційного обміну з сервером управління наведено на рис. 6.

Рис.6 Приклад HTTP-запиту

В рамках додаткового дослідження з'ясовано, що в розділі «Вакансії» веб-сайту, при спробі ознайомитись із прикладами документів для подачі їх на конкурс, завантажується документ з довільною назвою формату .doc, що містить макрос.

Рис. 7 Посилання на завантаження .doc файлів

Код відповідного макросу (рис. 8) ініціює з'єднання з URL-адресою http[:]//giraffe-tour[.]ru/123/index[.]exe та забезпечить завантаження і запуск файлу %USERPROFILE%\Documents\differencecell.exe. На момент аналізу сервер недоступний.

Рис. 8 Макрос

Індикатори компрометації:

Файли:

Назва файлу: 756285df0c8b81cf14ad3463a57d33ed.dll

SHA1: 3BCF40B51363E2E69AACEA81F700BD246FA99882

Назва файлу: 0707a.exe

SHA1: 32E80FFC4948828009B192076FA85922528A5740

Назва файлу:

44fcb1b922317cc82b3c3fc5a82efb19_1583907427.doc

756285df0c8b81cf14ad3463a57d33ed_1583907427.doc

d42580f0a3391eff1571ee7e7c19d05a_1583907427.doc

f70b4c4e23405b0e0cc5d8e539471cce_1583907427.doc

SHA1: D0A6B4366662E3C6590715E8181F5CB733490819

IP-адреси:

45.146.165[.]91

31.31.198[.]151

Доменні імена:

1833[.]site

gov-ua[.]info

URL-адреси:

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/administration/vakansiyi/download/1/756285df0c8b81cf14ad3463a57d33ed.xll

http://1833[.]site/0707a[.]exe

http://45.146.165[.]91:8080/upld/

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/storage/j-files-storage/00/90/05/44fcb1b922317cc82b3c3fc5a82efb19_1583907427[.]doc

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/storage/j-files-storage/00/90/01/d42580f0a3391eff1571ee7e7c19d05a_1583907427[.]doc

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/storage/j-files-storage/00/89/97/f70b4c4e23405b0e0cc5d8e539471cce_1583907427[.]doc

http[:]//president[.]gov[.]ua[.]administration[.]vakansiyi[.]administration[.]president[.]gov-ua[.]info/storage/j-files-storage/00/89/93/756285df0c8b81cf14ad3463a57d33ed_1583907427[.]doc

http[:]//giraffe-tour[.]ru/123/index[.]exe

Рекомендації:

https://cert.gov.ua/recommendation/2502

https://cert.gov.ua/files/pdf/Recomendations-MSOffice.pdf

https://cert.gov.ua/recommendation/31

Читайте також: