Русский язык
Українська мова
Інтернет-магазин ліцензійного
Хакери UAC-0056 атакували Україну, маскуючись фейковим словником-перекладачем
18 березня 2022
Компанія SentinelOne виявила нову шкідливу активність, яка може бути пов'язана з групуванням UAC-0056 (SaintBear, UNC2589, TA471). Кіберзлочинці при атаках на українських користувачів застосовували шкідливі програми Cobalt Strike, GrimPlant та GraphSteel. Цей невідомий набір дій пов'язаний з бінарним файлом, скомпільованим на Python. Робота хакерів полягала у маскуванні під програмне забезпечення для перекладу на українську мову, кінцевою метою чого було зараження GrimPlant та GraphSteel.
За оцінками SentinelOne, діяльність GrimPlant та GraphSteel UAC-0056 розпочалася на початку лютого 2022 року. А сама підготовка злочинних дій почалася ще у грудні 2021 року.
Словник Перекладач
Компанія SentinelOne виявила два файли з іменами та шляхами, що відповідають шкідливим програмам GraphSteel та GrimPlant. Про них також повідомляє Група реагування на комп'ютерні надзвичайні ситуації України (CERT-UA).
| C:\Users\user\.java-sdk\microsoft-cortana.exe | d77421caae67f4955529f91f229b31317dff0a95 |
| C:\Users\user\.java-sdk\oracle-java.exe | ef5400f6dbf32bae79edb16c8f73a59999e605c7 |
Два ідентифікованих файли являють собою двійкові дані Go, видалені виконуваним файлом 2a60b4e1eb806f02031fe5f143c7e3b7(dictionary-translator.exe).
Словник-перекладач – це двійковий файл, скомпільований на Python, який функціонує як програма для перекладу розміром 45 МБ. Примітно, що цей файл був завантажений на VirusTotal 11 лютого 2022 року.
Заявка на переклад
Двійковий файл словника-перекладача завантажується з домену, що потенційно контролюється суб'єктом: hxxps://dictionary-translator[.]eu/program/dictionary-translator.exe.
При запуску програма-перекладач скидає та запускає чотири шкідливі файли. Вони відповідають тим, які описані у звіті CERT-UA, три за іменами та шляхами та один за функціональністю та шляхами.
| Збігаючий шлях до файлу | Посилання на звіт UA-CERT (MD5) |
| \Users\user\AppData\Local\Temp\tmpj43i5czq.exe | 15c525b74b7251cfa1f7c471975f3f95 |
| \Users\user\.java-sdk\java-sdk.exe | c8bf238641621212901517570e96fae7 |
| \Users\user\.java-sdk\microsoft-cortana.exe | 9ea3aaaeb15a074cd617ee1dfdda2c26 |
| \Users\user\.java-sdk\oracle-java.exe | 4f11abdb96be36e3806bada5b8b2b8f8 |
Дії після компрометації
Відразу після активації варіант шкідливого програмного забезпечення GraphSteel запускає набір команд розслідування та збору облікових даних, знову ж таки аналогічних описаним у звіті CERT-UA. Крім того, шкідливе програмне забезпечення забезпечує стійкість, встановлюючи значення реєстру поточного користувача CurrentVersion\Run для запуску завантажувача Go при вході в систему:
|
netsh wlan показувати профілі [void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]; $vault = Новий об'єкт Windows.Security.Credentials.PasswordVault;$vault.RetrieveAll() | % { $_.RetrievePassword();$_} | Виберіть Ім'я користувача, Ресурс, Пароль | Format-Table -HideTableHeaders reg query HKCU\Software\SimonTatham\Putty\Sessions |
Крім того, зловмисне програмне забезпечення забезпечує стійкість, встановлюючи значення реєстру поточного користувача CurrentVersion\Run для виконання завантажувача Go під час входу:
|
Ключ : HKU\%SID%\Software\Microsoft\Windows\CurrentVersion\Run\Java-SDK Значення : \Users\user\.java-sdk\java-sdk.exe -a FIAjtW4f+IgCUrs3hfj9Lg== |
Згідно зі спостереженням SentinelOne, зловмисник намагався підключитися до іншого сервера, використовуючи аналогічний шаблон. При цьому збирався встановити з'єднання HTTP через порт 443 з односимвольною буквою URI: hxxp://91.242.229.35:443/i.
Пояснення щодо агента загрози UAC-0056
UAC-0056 має історію публічної звітності, але найбільш широко відомий, серед іншого, як UNC2589 (Mandiant) та TA471 (Proofpoint). Вважається, що ця злочинна група причетна до дій WhisperGate на початку січня 2022 року. Нагадаємо, в середині січня було здійснено кібератаку на державні установи України, яка передбачала знищення даних. Відповідно до аналізу, хакери потенційно могли створювати інфраструктуру для кампанії GrimPlant та GraphSteel, починаючи з грудня 2021 року.
Хронологія демонстрації відомої діяльності UAC-0056
Індикатори компрометації
| IOC / SHA1 | Опис |
| dictionary-translator[.]eu | Dictionary-translator.exe Download Server |
| 91.242.229[.]35:443/i | Go Downloader C2 |
| 3eec65c8ac25682d9e7d293ca9033c8a841f4958 | Go Downloader |
| d77421caae67f4955529f91f229b31317dff0a95 | GraphSteel Linked |
| ef5400f6dbf32bae79edb16c8f73a59999e605c7 | GrimPlant Linked |
| 3847ca79b3fd52b105c5e43b7fc080aac7c5d909 | Dictionary-translator Program |