Цільові кібератаки UAC-0185 у відношенні Сил оборони та підприємств ОПК України (CERT-UA#12414)
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 04.12.2024 від фахівців MIL.CERT-UA отримано інформацію щодо розповсюдження електронних листів з темою "до уваги_змiни_02-1-437 вiд 04.12.2024р.", нібито, від імені Українського союзу промисловців та підприємців (УСПП) із запрошенням на конференцію, присвячену тематиці переходу продукції ОПК України на технічні стандарти НАТО, що проводилася в м.Києві 05.12.2024 у змішаному форматі.
При цьому, в листі містилося гіперпосилання "Вкладення містить важливу інформацію для вашої участі.", у разі переходу за яким на комп'ютер жертви буде завантажено файл-ярлик "лист_02-1-437.lnk". Відкриття LNK-файлу призведе до завантаження і запуску за допомогою штатної утиліти mshta.exe файлу "start.hta". Згаданий HTA-файл містить JavaScript-код, призначений для запуску двох PowerShell-команд, одна з яких здійснить завантаження і вікдриття файлу-приманки у вигляді листа УСПП, а друга - завантаження файлу "Front.png", що є ZIP-архівом, в якому знаходяться три файли: "Main.bat", "Registry.hta" та "update.exe", видобування вмісту архіву до каталогу "%LOCALAPPDATA%MicrosoftEdgeUpdateUpdate" і запуск BAT-файлу "Main.bat".
Останній забезпечить переміщення файлу "Registry.hta" в каталог автозапуску, його виконання, а також видалення з комп'ютера частини завантажених файлів.
Насамкінець "Registry.hta" запустить "update.exe", який класифіковано як програму віддаленого керування MESHAGENT.
В процесі дослідження додатково виявлено файли та інфраструктуру, які використовувалися в кібератаках з початку 2023 року.
Загалом, активність UAC-0185 (UNC4221) здійснюється, щонайменше, з 2022 року. Основною спрямованістю угрупування є викрадення облікових даних месенджерів "Signal", "Telegram", "WhatsApp" та військових систем "DELTA", "ТЕНЕТА", "Кропива". Разом з тим, більш обмежено здійснюються кібератаки, що мають на меті отримання несанкціонованого віддаленого доступу до ЕОМ співробітників підприємств оборонно-промислового комплексу, а також Сил оборони України з використанням спеціалізованих програмних засобів, зокрема, MESHAGENT та ULTRAVNC.
Детальна інформація за посиланням.
