Кібератака UAC-0125 з використанням тематики "Армія+" (CERT-UA#12559)
Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 17.12.2024 від фахівців MIL.CERT-UA отримано інформацію щодо виявлення низки вебресурсів, які імітують офіційну сторінку додатку "Армія+" та опубліковані за допомогою сервісу Cloudlfare Workers.
У випадку відвідування згаданих вебсайтів користувачеві пропонується завантажити виконуваний файл "ArmyPlusInstaller-v.0.10.23722.exe" (назва змінюється).
Встановлено, що EXE-файл є інсталятором, створеним за допомогою NSIS (Nullsoft Scriptable Install System), який, окрім .NET файлу-приманки "ArmyPlus.exe", містить файли інтерпретатору Python, архів з файлами програми Tor, а також PowerShell-скрипт "init.ps1".
У випадку відкриття файлу "ArmyPlusInstaller-v.0.10.23722.exe" буде здійснено запуск файлу-приманки, а також PowerShell-скрипта, призначенням якого є:
- встановлення на ЕОМ жертви OpenSSH-серверу
- генерація пари RSA-ключів
- додавання публічного ключа до файлу "authorized_keys" для автентифікації
- відправка приватного ключа за допомогою "curl" на сервер зловмисників (TOR-адреса)
- публікація прихованого SSH-сервісу за допомогою Tor.
В такий спосіб створюється технічна можливість для віддаленого прихованого доступу до комп'ютера жертви.
Згадана активність відстежується CERT-UA за ідентифікатором UAC-0125 та, з достатнім рівнем впевненості, асоціюється з кластером UAC-0002 (APT44 aka Sandworm). При цьому, в інцидентах, які мали місце в першій половині 2024 року вектором первинної компрометації слугував пакет програм Microsoft Office (наприклад, "Office16.iso", MD5: 79782773ffee7b8141674c27e9bfc109), що містив троянізований компонент "omas-x-none.msp" (MD5: 08a0c1166d8e50d95254b198b8168726), в якому знаходився файл "CommunicatorContentBinApp.cmd" (MD5: 4316eb790d186ffda2999257f8ded747) з PowerShell-командою.
Наголошуємо, що у випадку успішного проникнення та зацікавленості в об'єкті впливу, зловмисники надалі розвивають кібератаку на інформаційно-комунікаційну систему організації.
Мережеві:
(для workers[.]dev піддомени не наводяться)
desktopapluscom.workers[.]dev
desktopaplus.workers[.]dev
armyplus-desktop.workers[.]dev
aplusdesktop.workers[.]dev
armylpus.workers[.]dev
aplusmodgovua.workers[.]dev
wvtmsouaa2gt6jmcuxj5hkfrqdss5lhecoqijt5dl7gfruueu3i5mkad[.]onion