Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Хакери UAC-0056 атакували Україну, маскуючись фейковим словником-перекладачем

Хакери UAC-0056 атакували Україну, маскуючись фейковим словником-перекладачем

Компанія SentinelOne виявила нову шкідливу активність, яка може бути пов'язана з групуванням UAC-0056 (SaintBear, UNC2589, TA471). Кіберзлочинці при атаках на українських користувачів застосовували шкідливі програми Cobalt Strike, GrimPlant та GraphSteel. Цей невідомий набір дій пов'язаний з бінарним файлом, скомпільованим на Python. Робота хакерів полягала у маскуванні під програмне забезпечення для перекладу на українську мову, кінцевою метою чого було зараження GrimPlant та GraphSteel.

cyber-atack_ua.jpg

За оцінками SentinelOne, діяльність GrimPlant та GraphSteel UAC-0056 розпочалася на початку лютого 2022 року. А сама підготовка злочинних дій почалася ще у грудні 2021 року.

Словник Перекладач

Компанія SentinelOne виявила два файли з іменами та шляхами, що відповідають шкідливим програмам GraphSteel та GrimPlant. Про них також повідомляє Група реагування на комп'ютерні надзвичайні ситуації України (CERT-UA).

C:\Users\user\.java-sdk\microsoft-cortana.exe d77421caae67f4955529f91f229b31317dff0a95
C:\Users\user\.java-sdk\oracle-java.exe ef5400f6dbf32bae79edb16c8f73a59999e605c7

Два ідентифікованих файли являють собою двійкові дані Go, видалені виконуваним файлом 2a60b4e1eb806f02031fe5f143c7e3b7(dictionary-translator.exe).

Словник-перекладач – це двійковий файл, скомпільований на Python, який функціонує як програма для перекладу розміром 45 МБ. Примітно, що цей файл був завантажений на VirusTotal 11 лютого 2022 року. 

словник.jpg

Заявка на переклад

Двійковий файл словника-перекладача завантажується з домену, що потенційно контролюється суб'єктом: hxxps://dictionary-translator[.]eu/program/dictionary-translator.exe.

При запуску програма-перекладач скидає та запускає чотири шкідливі файли. Вони відповідають тим, які описані у звіті CERT-UA, три за іменами та шляхами та один за функціональністю та шляхами.

Збігаючий шлях до файлу Посилання на звіт UA-CERT (MD5)
\Users\user\AppData\Local\Temp\tmpj43i5czq.exe 15c525b74b7251cfa1f7c471975f3f95
\Users\user\.java-sdk\java-sdk.exe c8bf238641621212901517570e96fae7
\Users\user\.java-sdk\microsoft-cortana.exe 9ea3aaaeb15a074cd617ee1dfdda2c26
\Users\user\.java-sdk\oracle-java.exe 4f11abdb96be36e3806bada5b8b2b8f8

Дії після компрометації

Відразу після активації варіант шкідливого програмного забезпечення GraphSteel запускає набір команд розслідування та збору облікових даних, знову ж таки аналогічних описаним у звіті CERT-UA. Крім того, шкідливе програмне забезпечення забезпечує стійкість, встановлюючи значення реєстру поточного користувача CurrentVersion\Run для запуску завантажувача Go при вході в систему:

netsh wlan показувати профілі [void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime];

$vault = Новий об'єкт Windows.Security.Credentials.PasswordVault;$vault.RetrieveAll() | % { $_.RetrievePassword();$_} | Виберіть Ім'я користувача, Ресурс, Пароль | Format-Table -HideTableHeaders reg query HKCU\Software\SimonTatham\Putty\Sessions

Крім того, зловмисне програмне забезпечення забезпечує стійкість, встановлюючи значення реєстру поточного користувача CurrentVersion\Run для виконання завантажувача Go під час входу:

Ключ : HKU\%SID%\Software\Microsoft\Windows\CurrentVersion\Run\Java-SDK

Значення : \Users\user\.java-sdk\java-sdk.exe -a FIAjtW4f+IgCUrs3hfj9Lg==

Згідно зі спостереженням SentinelOne, зловмисник намагався підключитися до іншого сервера, використовуючи аналогічний шаблон. При цьому збирався встановити з'єднання HTTP через порт 443 з односимвольною буквою URI: hxxp://91.242.229.35:443/i.

Пояснення щодо агента загрози UAC-0056

UAC-0056 має історію публічної звітності, але найбільш широко відомий, серед іншого, як UNC2589 (Mandiant) та TA471 (Proofpoint). Вважається, що ця злочинна група причетна до дій WhisperGate на початку січня 2022 року. Нагадаємо, в середині січня було здійснено кібератаку на державні установи України, яка передбачала знищення даних. Відповідно до аналізу, хакери потенційно могли створювати інфраструктуру для кампанії GrimPlant та GraphSteel, починаючи з грудня 2021 року.

uac-0056_ua.jpg

Хронологія демонстрації відомої діяльності UAC-0056

Індикатори компрометації

IOC / SHA1 Опис
dictionary-translator[.]eu Dictionary-translator.exe Download Server
91.242.229[.]35:443/i Go Downloader C2
3eec65c8ac25682d9e7d293ca9033c8a841f4958 Go Downloader
d77421caae67f4955529f91f229b31317dff0a95 GraphSteel Linked
ef5400f6dbf32bae79edb16c8f73a59999e605c7 GrimPlant Linked
3847ca79b3fd52b105c5e43b7fc080aac7c5d909 Dictionary-translator Program