Кібератака на державні організації України з використанням шкідливої програми RomCom. Можлива причетність Cuba Ransomware aka Tropical Scorpius aka UNC2596
Загальна інформація
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 21.10.2022 виявлено факт розповсюдження електронних листів, начебто, від імені Пресслужби Генштабу ЗСУ з посиланням на сторонній веб-ресурс для завантаження “наказу”. На згаданій веб-сторінці розміщено повідомлення про необхідність оновлення програмного забезпечення (PDF Reader). У випадку натискання на кнопку “ЗАВАНТАЖЕННЯ” на комп’ютер буде завантажено виконуваний файл “AcroRdrDCx642200120169_uk_UA.exe”.
Запуск згаданого файлу, в результаті, призведе до декодування та запуску файлу “rmtpak.dll”. Останній класифіковано як шкідливу програму RomCom.
Зважаючи на використання бекдору RomCom, а також інші особливості пов’язаних файлів, вважаємо за можливе асоціювати виявлену активність з діяльністю групи Tropical Scorpius (Unit42) aka UNC2596 (Mandiant), що відповідальна за розповсюдження Cuba Ransomware; CERT-UA відстежує активність за ідентифікатором UAC-0132.
Мережеві:
45[.]158.38.74 (Received) 45[.]87.155.99 (@stark-industries.solutions) 69[.]49.231.103 hXXp://notfiled[.]com:4444/ hXXps://www.get.adobe.com.aspx[.]io/reader/download.php hXXps://gov.mil.ua.aspx[.]io/mail/attachment/Наказ_309.pdf www.get.adobe.com.aspx[.]io gov.mil.ua.aspx[.]io mil.ua.aspx[.]io ua.aspx[.]io aspx[.]io (2022-10-15) mill.co[.]ua (2022-10-14) notfiled[.]com (2022-09-03) WinHTTP Example/1.0 (User-Agent) s.l.sinkewitch@ukr.net (електронна адреса відправника) Пов'язані мережеві індикатори: hXXp://advanced-ip-scanners[.]com/advancedipscanner.msi hXXps://advanced-ip-scaner[.]com/download/ hXXp://combinedresidency[.]org:4444 hXXp://4qzm[.]com:4444 4qzm[.]com (2022-08-12) combinedresidency[.]org (2022-02-28) advanced-ip-scaner[.]com (2022-07-13) advanced-ip-scanners[.]com (2022-07-20)
Хостові:
%PUBLIC%\Libraries\VSSVC.exe %PUBLIC%\Libraries\WinApp.dll %PUBLIC%\Libraries\rtmpak.dll %PUBLIC%\Наказ_309.pdf rundll32.exe %PUBLIC%\Libraries\WinApp.dll,fwdTst Blythe Consulting sp. z o.o. (назва сертифікату для цифрового підпису) Пов'язані хостові індикатори: rundll32.exe hlpr.dat,fwdTst C:\Users\123\source\repos\ins_asi\Win32\Release\setup.pdb (PDB-шлях) C:\Users\123\source\repos\cve_2022_24521 (1)\CVE_2022_24521\x64\Release\CVE_2022_24521_clfs.pdb (PDB-шлях) Wechapaisch Consulting & Construction Limited (назва сертифікату для цифрового підпису)
Посилання
https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
За матеріалами CERT-UA
Автор публікації
