Перейти до основного вмісту

Звіт за результатами аналізу кампанії UAC-0114 (WinterVivern), націленої на державні установи України та Польщі

08.02.2023

UAC-0114 (відома як WinterVivern) – це група невизначених осіб (де, ймовірно, присутні російськомовні учасники), чия діяльність спрямована на європейські державні установи та організації.

Нещодавня кампанія була спрямована на українські та польські урядові організації з використанням фейкових вебсторінок, що видають себе за законні вебресурси Міністерства закордонних справ України та Центрального бюро боротьби з кіберзлочинністю Польщі.

Тактики, техніки та процедури, які використовували зловмисники, – доволі відомі: для отримання первинного доступу вони використовують теми електронних листів, пов’язані зі скануванням зловмисного програмного забезпечення. Аналіз активності останніх кампаній підтверджує, що техніка фішингу залишається основним вектором атаки. Однак тепер замість документів Microsoft Excel зі шкідливими макросами XLM, що використовувалися в попередніх кампаніях, приписуваних групі, використовується фішингове посилання. Посилання веде на підроблену сторінку вебсайту, де розміщене зловмисне програмне забезпечення.

Згідно з повідомленням CERT-UA, така ж методика була застосована і під час кібератаки, здійсненої у червні 2022 року з використанням фішингового посилання на шахрайську вебсторінку, що імітує вебінтерфейс поштової служби Міністерства оборони України.

Один зі шкідливих файлів .exe під назвою "Detection_of_malicious_software.exe" (APERETIF), який використовувався під час цієї кібератаки, містить певний шлях «C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb», що дозволяє з високим рівнем достовірності зробити припущення про причетність до групи російськомовних учасників.

Виходячи з дати компіляції, початок використання шкідливого ПЗ APERETIF – не раніше 25 травня 2022 року.

Раніше використовувана функція ексфільтрації була пов’язана з крадіжкою детальної інформації про інфіковану систему, але вона не спостерігалась під час останньої кампанії.

Нові проаналізовані варіанти PowerShell плейлоадів містять інструкції щодо ексфільтрації знімків екрану, а також енумерованих файлів певних розширень разом із їхнім вмістом з директорії Desktop.

Завдяки забезпеченню персистентності на заражених хостах додаткові пейлоади можуть завантажуватись у разі необхідності.

Детальний аналіз активності, яка представляє потенційний ланцюжок зараження, розглядається у звіті.


UAC-0114 WinterVivern

Зображення до статті

За темою «Security»

11.10.2024

Завдяки співпраці з партнерами Державний центр кіберзахисту посилює кіберстійкість держави

19.06.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

30.04.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

18.04.2024

Державний центр кіберзахисту збільшує технічні спроможності Національного центру резервування державних інформаційних ресурсів

19.03.2024

Державний центр кіберзахисту спільно з Unit 42 Palo Alto Networks провели дослідження шкідливого програмного забезпечення SmokeLoader

Більше новин