Кібератака на інформаційно-комунікаційну систему Укрінформ (CERT-UA#5850)

APT 2年前 (2023) admin

703 0 0

В телеграм-каналі “CyberArmyofRussia_Reborn” 17.01.2023 близько 12:39 опубліковано інформацію щодо порушення штатного режиму функціонування декількох елементів інформаційно-комунікаційної системи (далі – ІКС) Українського національного інформаційного агентства “Укрінформ”.

За зверненням Агентства Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 17.01.2023 ініційовано заходи щодо дослідження кібератаки.

Станом на 27.01.2023 виявлено 5 зразків шкідливих програм (скриптів), функціонал яких спрямовано на порушення цілісності та доступності інформації (запис файлів/дисків нульовими байтами/довільними даними та їх подальше видалення), а саме:

CaddyWiper (Windows)
ZeroWipe (Windows)
SDelete (Windows)
AwfulShred (Linux)
BidSwipe (FreeBSD)

З’ясовано, що зловмисниками здійснено невдалу спробу порушення штатного режиму роботи комп’ютерів користувачів з використанням шкідливих програм-деструкторів CaddyWiper та ZeroWipe, а також легітимної утиліти SDelete (запуск якої передбачалося здійснити за допомогою “news.bat”). При цьому, з метою централізованого розповсюдження шкідливих програм, створено об’єкт групової політики (GPO), що, у свою чергу, забезпечував створення відповідних запланованих завдань.

Існують підстави вважати, що етап розвідки ІКС Українського національного інформаційного агентства “Укрінформ” проведно не пізніше 07.12.2022. Встановлено, що завершальну стадію кібератаки ініційовано 17.01.2023, проте, вона мала лише частковий успіх, зокрема, у відношенні декількох систем зберігання даних.

В процесі дослідження визначено елемент ІКС, за допомогою якого створено передумови для несанкціонованого віддаленого доступу до інформаційних ресурсів Агентства.

Беручи до уваги результати дослідження, вважаємо за можливе стверджувати, що кібератаку здійснено групою UAC-0082 (Sandworm), діяльність якої асоціюється з гу гш зс рф.

Слід зауважити, що згаданий телеграм-канал, поряд із типовими повідомленнями щодо DDoS-атак та дефейсів, ексклюзивно висвітлює деструктивну активність, що здійснюється згаданим угрупуванням.

Індикатори компрометації

Файли:

cc213200daf4202e2454dc2c363db04f    00782ccd65a1e03e3e74ce1e59e752926e0a050818fa195bd7e5a5b359500758    2022-12-23 02:10:52 new.exe (CaddyWiper v3)
54e5773071b193e109cbacc82565c6a9    e3bc3689f01fd431cd2ed368ae91eceaa7c465c2781fa7b7dc2ec9143a404f79    2022-10-02 09:53:56 upd.exe (ZeroWipe)
6aa899b47596323da573fb218f3a8266    301b248a8291df6c7f3565a3dac17ee69609f36ef474b4f20eebe134746a9cac    -   news.bat
803df907d936e08fbbd06020c411be93    e8eaa39e2adfd49ab69d7bb8504ccb82a902c8b48fbc256472f36f41775e594c    2020-11-24 23:36:04 sdelete.exe (SDelete)
3a1070b882d6843fcfa9490c24700bd1    246607235d560e90590dcf1b0507ab18de74afcc4429d8d5f3ba97eacc92d73f    -   r.sh (AwfulShred)
4a5863d34fc99e91af11dd7976c36c27    66548ba6ca6d34b7d17e42ab2e1405db1c581a516e0b1a4942d373d6d5396ba4    -   audit.sh (BidSwipe)

Хостові:

powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]xADgALgB0AG0AcAAnAA==
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]zADEAOAAuAHQAbQBwACcA
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]5AEEAQgAuAGwAbwBnACcA
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]2ADQALgBsAG8AZwAnAA==
$ProgressPreference="SilentlyContinue";copy C:\windows\system32\winevt\logs\Security.evtx C:\windows\temp\b8WTBWCoF5.log > 'C:\windows\temp\TS_4318.tmp'
$ProgressPreference="SilentlyContinue";copy C:\windows\system32\winevt\logs\Security.evtx C:\windows\temp\b8WTBWCoF5.log > 'C:windowstemp\TS_4318.tmp'
$ProgressPreference="SilentlyContinue";dnscmd /enumrecords %DOMAIN% . /type A /child > 'C:\windows\temp\BRN3C2AF47629AB.log'
$ProgressPreference="SilentlyContinue";hostname > 'C:\VLOG\dd_vcredist_x86_20200324195140_001_vcRuntimeAdditional_x64.log'
icacls.exe C:\Windows\explorer.exe /deny *S-1-1-0:F
takeown /F C:\Windows\explorer.exe
C:\Users\new.exe
C:\VLOG\dd_vcredist_x86_20200324195140_001_vcRuntimeAdditional_x64.log
C:\Windows\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\news.bat
C:\Windows\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\upd.exe
C:\Windows\new.bat
C:\Windows\up.exe
C:\windows\temp\BRN3C2AF47629AB.log
C:\windows\temp\TS_4318.tmp
C:\windows\temp\b8WTBWCoF5.log
\\%DOMAIN%\SYSVOL\%DOMAIN%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\news.bat
\\%DOMAIN%\SYSVOL\%DOMAIN%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\upd.exe
certutil (Process Name)
copy (Process Name)
dnscmd (Process Name)
hostname (Process Name)
icacls.exe (Process Name)
shutdown (Process Name)
takeown (Process Name)
Windows_Security_Update_HxW (Scheduled Task)
Windows_Security_Update_gMj (Scheduled Task)
Windows_Security_Update_xBQ (Scheduled Task)
/root/r.sh
/sbin/audit.sh

Мережеві:

185[.]220.101.185   DE  @digitalcourage[.]de (TOR Relay: relayon1185)
185[.]220.102.244   DE  @digitalcourage[.]de (TOR Relay: Digitalcourage4ipea)
185[.]220.102.245   DE  @digitalcourage[.]de (TOR Relay: Digitalcourage4ipfb)
185[.]220.102.248   DE  @digitalcourage[.]de (TOR Relay: Digitalcourage4ip1b)
185[.]220.102.250   DE  @digitalcourage[.]de (TOR Relay: Digitalcourage4ip3a)
185[.]220.102.251   DE  @digitalcourage[.]de (TOR Relay: Digitalcourage4ip4a)
45[.]154.98.225 NL  @as210558[.]net (TOR relay: prsv)
77[.]91.123.136 NL  @stark-industries[.]solutions (TOR Relay: lePaysduDragon)
80[.]67.167.81  FR  @milkywan[.]fr (TOR Relay: arecoque1)
194[.]28.172.172    UA  @besthosting[.]ua (torguard[.]net; secureconnect[.]me)
194[.]28.172.81 UA  @besthosting[.]ua (torguard[.]net; secureconnect[.]me)

Графічні зображення