Кібератак на об'єкти критичної інфраструктури України (CERT-UA#13702)

Дата: 24.02.2025 14:38

Кількість переглядів: 90

Цільова активність UAC-0212 у відношенні розробників та постачальників рішень АСУТП з метою здійснення кібератак на об'єкти критичної інфраструктури України (CERT-UA#13702)

23.02.2025

Загальна інформація

Як зазначено у минулорічній статті, Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA у першому кварталі 2024 року розкрито зловмисний задум щодо проведення деструктивних кібератак у відношенні інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо- та теплопостачання (ОКІ) у десяти регіонах України. Для відстежування згаданої активності було створено окремий кластер загроз UAC-0133, який з високим рівнем впевненості мав відношення до UAC-0002 (Sandworm, APT44, Seashell Blizzard).

Разом з тим, починаючи з другої половини 2024 року було відмічено застосування нових тактик, технік та процедур, що, серед іншого, передбачали відправку жертві PDF-документу з посиланням, відвідування якого, у поєднанні з експлуатацією вразливості CVE-2024-38213, призводило до завантаження на комп'ютер LNK-файлу (розширення "pdf.lnk"), запуск якого призводив до виконання PowerShell-команди, що забезпечувала завантаження та відображення документу-приманки, а також завантаження, забезпечення персистентності (гілка "Run") та запуск EXE/DLL файлів.

Відомо, що у якості програмних засобів реалізації кіберазгрози, серед іншого, використовувалися такі: SECONDBEST / EMPIREPAST, SPARK, CROOKBAG (лоадер на GoLang). Водночас, в декількох випадках зловмисниками, з метою довготривалого викрадення документів, також було застосовано RSYNC.

Виходячи з результатів дослідження низки пов'язаних кампаній, що мали місце у період з липня 2024 року по лютий 2025 року, угрупуванням здійснено цільові атаки у відношенні підприємств-постачальників з Сербії, Чехії, України (зауважимо, що географія об'єктів атаки набагато ширша). Разом з цим, лише протягом серпня 2024 року в фокусі знаходились не менше дванадцяти логістичних підприємств України, що спеціалізуються на вантажоперевезеннях автомобільним, повітряним та морським транспортом (в тому числі, небезпечних та швидкопсувних вантажів). За цих обставин, з початку січня 2025 року по 20 лютого 2025 року, проведено кібератаки у відношенні чотирьох українських підприємств, які спеціалізуються на проектуванні та виробництві техніки для сушіння, транспортування та зберігання зерна (в т.ч., будівництві елеваторів), а також, не менше ніж двадцяти п'яти українських підприємств, що займаються розробкою автоматизованих систем управління технологічними процесами (АСУТП) та пов'язаними елктромонтажними роботами. Поверхневий аналіз портфоліо та тендерної документації дозволяє зробити висновок про те, що тільки компанії-постачальники рішень АСУТП надають послуги сотням українських підприємств, які забезпечують життєвоважливі функції, такі як енергозабезпечення (у тому числі постачання теплової енергії), водопостачання та водовідведення.

На етапі первинної компрометації зловмисники, під виглядом потенційного замовника, протягом декількох діб здійснюють листування з потенційної жертвою, підводячи її до необхідності ознайомлення з "технічною документацією" у вигляді PDF-документу зі спотвореним змістом.

Виявлення цієї активності (що відстежується за ідентифікатором UAC-0212, який є субкластером UAC-0002) свідчить про чіткі наміри щодо проникнення до комп'ютерних мереж постачальників послуг з метою подальшого використання отриманих даних для компрометації ІКС підприємств критичних галузей промисловості та життєзабезпечення.

В даній статті наведено відповідні індикатори кіберзагрози, а також приклади ланцюга ураження. У випадку, якщо опублікована інформація щодо кібератак виглядає "знайомою", ми просимо представників компаній-постачальників невідкладно вийти на зв'язок з CERT-UA для ініціації вжиття заходів з комп'ютерно-технічного дослідження та, за потреби, реагування на інцидент.

Попереджаємо, що ідентифікація і "перевірка антивірусом" (або "перевстановлення операційної системи") лише ураженого комп'ютера не вирішить проблеми, адже після первинної компрометації вже після декількох годин зловмисники здійснюють горизонатльне переміщення мережею з послідуючим закріпленням на серверному, активному мережевому обладанні, або автоматизованих робочих місцях користувачів.

Для спрощення атрибуції та моделювання даних ми наводимо індикатори кіберзагроз низки епізодів, що мали місце у 2024 році, а також посилання на публікації стосовно описаної активності компаній Microsoft [1] та Strike Ready [2].

Індикатори кіберзагроз

Файли:

518fe9deb08cb41d14ac9a17114bc12f	5365eb873b3cf06015490eae0ed364ab08a913bf642d5f9043f3f0aed45d9588	Технічне завдання на комплексну автоматизацію об_єкта.pdf
e5e591ea972ce89e4cec68bbe655a95d	87f692fcfcc4bf11385a4e11cd1578b5b40baefaf56071005e87e91edd10caf7	Technicne_zavdannya_na_kompleksnu_avtomatizaciyu_objekta.pdf
ad899147a8ddb8ec7dbab5b6c5faa8df	574af0bac6037364a9a333605c95b98856881906df62bda03bc15d5b97323a14	Technicne_zavdannya_na_kompleksnu_avtomatizaciyu_objekta.pdf.lnk
194c51108976ba95d3f6552889c54e16	9365c3f24deb42aed4bd575739aceec40c2e97fef1603c0499887571553464bf	some.html
071dbf736330847e5e805bf43b7f1195	44f35b1025bede25144484a9a27bb8127aa89a89b162df0d6810f9d39ecacf35	DownLoads.html
64f383b4406f10b07ac64e7b9a03c709	be248363c78f66fda1814f6a56332f92001c15b9f693763ec241ae1e2308624a	Backup.dll (CROOKBAG)


8769179987eb2c24dc12246656812d19	9bdf252eec4cf8a32cd92be3568e6187e80a80ecc5c528439312fb263cda8905	CV_Vitaliy_Klymenko_22.11.2024.pdf.lnk
8a828fe189e84e6304d2cf0b60dca7aa	5c94e27f96c84d63573510fae4a0d37668efd5402e8c9254820de4be9ac2008a	CV_DLymarenko_21.11_3.pdf.lnk
c0098edb2bd1bce7768b20d75d66bc9f	4289e4f8348eebc79d376d33ce2b71581e1409ad7cfa3d8fa4adef001acd6d26	CV_DLymarenko.html
de3e59c1680428ade600100cd37ec416	e9bf38e729ecbd3172fc3299ae1c3d68e6799c63920a887f534f1c39760b744f	CV_Vitaliy_Klymenko_DA.html
f04a8ca35cb667e3119a09a0d24e8556	31d01e1ad3fccc3c1294ddcb37ccbacd755f25e373d815feb5e741060dd9ee8e	bShark.exe
c316169a57802651f82e1dec5001da1c	fb63f962fc3adf2acc691f2d01d2765f11ac784b46ea1bdf23a192845f67f993	spark.exe (SPARK)
f72184835ebb32c8c4cf099effe8cfa2	0a2a18aac9f5683d4a65e402e22503d1b20a736d12ac71d0f1eff2f9bc0788a8	adobe.exe (EMPIREPAST)
185a67fe32619e12710fa28736338e2a	fc609eb7870597eac2d7bab1b203003da7e2e6174a70347dea8b43ab4a573f44	CV_Vitaliy_Klymenko_DA.pdf
17318ec3e2b37fdd7cb6a9c94fa751e8	d820357076dbe40c41c2925fc25bdd4ab2cb20e41194d1a2cf7c477f99e2f0e0	CV_DLymarenko.pdf
e4cfe8b91e5fd878e62914c2db54f029	d1229e52b7fc4b3fe62843b07ea6c5a132e5dbe5a797102b9bc3214e49c59642	sample.pdf
9b8d846b10f26d47d2a6fb95c10e01f1	fc21c8281810ae89a236de986a79ff67cd81136d026daf138343c16b1e94a941	DOG_2210_GPL.pdf
2a2a28ec5dbe0105fc1cc1e11e29ac11	9787a08d36f0fa3cfaac98ad7b1c7e1cd0f734dd357c9c6fd48568b631ecec37	Dogovir_Komel-1.pdf.lnk
7704657352305026118a3d230a4f2f1d	a7c9d719d640644eceb76fbb8821dc640448417a0212ce71ba57fcccd3dda444	Sample_Mugnaioni_Mil_Audit.pdf.lnk
f10913f016f4281a00661c5db4195842	bf3b92423ec8109b38cc4b27795624b65665a1f3a6a18dab29613d4415b4aa18	Sample_Mugnaioni_Mil_Audit.pdf


c081a99e659c735f8fdd45b33e425e0b	958006c2be14c75ac32c92bb0ff0b71d4b94e9e0f358335ed976952abb772eb0	Resume.lnk
38826c75bd837b23ec18a9f99de53430	244e004ac7149e2631d68cba947cfd3d5d5352536ecb352c410b6e80e09d874a	customchecker.com.exe (SECONDBEST)
558ed2a75be9da451504b5ef33eed93c	b8d97d29e99e1f96e06836468db56855dc09305e3ed663c720fe700ea4bf6e73	GIE Annual Conference 2024 in Munich Participant Form Event Agency.pdf.lnk
a15f95b58098883533e018a0f90564bb	28d2c70bb31fc2be17ff15f5c07eea5f373563970ec210b3af343444222ef167	GIEAnnualConferenceStage2.exe (PEAKLIGHT)
a0d83d71993c670b76c8e26be0ae13bf	d4daf30ceee80c4f639f3aff6abeb95e7fbf11e125fb90f8972b7a92e22d22e5	ssowoface.dll (SECONDBEST)
bb83512962ad565bbb1eaefe370fee2d	87bd7f928b804f450a7f2a7d015c71eeefeff7ac6ef9920d49ddd0ef1a2a1fb9	GIEAnnualConferenceStage2.js
39cf9750a6ddd099525b05015a61078b	806b5269e7aa9c2c82ce247b30a3e92a4f7285b21e2bcf54c8ffad86bd92ea68	zayavka.lnk
0c2c7e4a763b82bab716b258268946ce	7168a249f203b7bb4ee91a6e08acef5e3a1231c43c0fa9c2c4c43920522fbd1b	arst.dll (EMPIREPAST)
0704a0d3fcd27642501c728ab657a8b7	616cf561124ce116e4b61a26e5d2fb4ba68126ba6f3df9a66e71f57f6914292e	Resume.pdf.lnk
c9584929f8ff5b888def643a67c6faf1	a42058b9d627c20bb78151708328ab5fa01e13a663013a098c221e8d74e488e0	Vasy.lnk
339e94bff01e66552e855e9ade023163	9caaa34fa5fab572695f49cc496820dc5e4df6d8866b3f89a49e2dab1a6f85d2	Gtsvitikgasustage5.exe (PEAKLIGHT)
a688a15bb6016080f75a58e70109ef51	f00c33c89c8468f112a9d54888eb37087e82b0732b7e587371426bfaf397eefa	Zayava_pro_vitik_gasu.pdf (decoy)
a77dea54343e0a7ab13ac9a70c74b411	27e9b90ed2bb01f73e03b6526b6ad9411de78233dee7f76e8af7477cbccfe9ef	GIE Annual Conference 2024 Participant Form.pdf
cf47e49394188b692ae0c453de178798	b53cf86e6860294fd6731f7db990d7d0f2329893d83f17934836207cf361062f	GIE_Annual_Conference_2024_Participant_Form.pdf (decoy)
5f1c24afbde25cb4eb7ced1f157ac7c1	36db27f5eb3343cfc72d261d78da44957a49cb6731acb50a96ea5694f4d616c5	_20140027_2b27b517.pdf.lnk
218590db150c3d20d4f8a4c07a753354	7f6c6bfe7aaac358ba6ba6b4c4310d3f22ae5562f1876db8d92235d0cc3857ca	_20140027.pdf.lnk
b3027340c410015546407bb48c2f02db	ac71520a18fa7fd5f67d8cb8800c732a3c78bb1e0815bcddfbc120bf9ca86d96	Зміни до Закону Про державний бюджет України на 2025 рік.pdf.[lnk]
6cbb9025a6560d3268074b2fb5d9573c	8f51f8d5c5c4c3496af197dbfb99167af77b0d9b434297d70df5ecd7a167f74e	Resume.pdf.[lnk]
27200c13c0c96209c4563f8a0c64dcc0	30f5db9a7982db6ac1a3f65f4eada76b24e9438c9cf733e7b0bc353e6c5c5a25	Дог 205 3132 Ремтехналадка.pdf.lnk
030bcd5ede911a4c12bace4d0695fdf1	4a302c0ed3c47231bc7c34cf2d41bc0ceb60d9c7b0023df015f75a58853f43d2	ssowoface.dll (EMPIREPAST)
5cafa40555b799867c8c29a25fffd776	1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a	my_resume.pdf
3d1e28697422b13586979bff5d870aa5	a17dc4cb60f398a8880b0a08535b405f546153ad100c381d1c3cc6861f6c0746	-
320a3c24fac0c7b9d57461a3c8f23940	2281e6acb309afa3be8215672f4e6902f37e24cd75a1ef3168183dd52e5ba7ad	gieconferencemunich.html

Графічні зображення

Фото без опису