Загальна інформація
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 08.12.2022 від фахівців підрозділу кібербезпеки АТ “Укрзалізниця” отримано інформацію щодо розсилання електронних листів з темою “Як розпізнати дрон-камікадзе.” з адреси “morgunov.a@dsns.com[.]ua”, начебто, від імені Державної служби України з надзвичайних ситуацій. Для цього, серед іншого, 08.11.2022 зареєстровано відповідне доменне імя.
У вкладенні до листа знаходиться RAR-архів “shahed-136.rar”, що містить PPSX-документ “shahed.ppsx”, який, у свою чергу, містить VBScript-код, призначений для створення запланованого завдання, а також дешифрування, створення на ЕОМ та запуску PowerShell-скрипта. При цьому, криптографічне перетворення даних здійснюється за допомогою алгоритму RC4, а в якості ключа виступає рядок, що є результатом конкатенації значення властивості “Manager” та назви документу (“Трігубенко Сергій Георгійович|shahed.ppsx”).
Згаданий PowerShell-скрипт за допомогою командлету BitsTransfer (Background Intelligent Transfer Management) здійснить завантаження виконуваних файлів “WibuCm32.dll”, “CodeMeter.exe” (легітимна програма), а також створення запланованого завдання для запуску останнього. При цьому, буде використана техніка DLL Side-Loading.
Файл “WibuCm32.dll” класифіковано як шкідливу програму DolphinCape, що розроблена з використанням мови програмування Delphi та основним функціоналом якої є збір інформації про ЕОМ (ім’я хоста, ім’я користувача, розрядність, версія ОС, значення змінних середовища), запуск EXE/DLL файлів, відображення списку файлів та їх вивантаження, а також створення та ексфільтрація знімків екрану.
Активність відстежується за ідентифікатором UAC-0140.
Індикатори компрометації
Мережеві:
morgunov.a@dsns.com.ua 195[.]123.237.147 202[.]157.187.190 Mozilla/3.0 (compatible; Indy Library) dsns.com[.]ua hXXp://195[.]123.237.147/manifests/win/WIBU/Manifest?r=rev1&role= hXXp://202[.]157.187.190/cgi-bin/rarcheckcert[.]cgi/http/20221208011644645.stc ".cda|.cda|.stk|.stc|.stt|.stf" (суфікси URI)
Хостові:
%LOCALAPPDATA%\Microsoft\msWIBU\
%LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.dat
%LOCALAPPDATA%\Microsoft\msWIBU\CodeMeter.exe
%LOCALAPPDATA%\Microsoft\msWIBU\WibuCm32.dll
%TMP%\mso\SearchEmbdIndex.ps1
{CVS_87963304_MN.0.3.4_227e} (М'ютекс)
SidebarWIBU- (частина назви запланованого завдання)
msoSearchEngineUA- (частина назви запланованого завдання)
За матеріалами сайту CERT-UA
Автор публікації
