UAC-0114 (відома як WinterVivern) – це група невизначених осіб (де, ймовірно, присутні російськомовні учасники), чия діяльність спрямована на європейські державні установи та організації.
Нещодавня кампанія була спрямована на українські та польські урядові організації з використанням фейкових вебсторінок, що видають себе за законні вебресурси Міністерства закордонних справ України та Центрального бюро боротьби з кіберзлочинністю Польщі.
Тактики, техніки та процедури, які використовували зловмисники, – доволі відомі: для отримання первинного доступу вони використовують теми електронних листів, пов’язані зі скануванням зловмисного програмного забезпечення. Аналіз активності останніх кампаній підтверджує, що техніка фішингу залишається основним вектором атаки. Однак тепер замість документів Microsoft Excel зі шкідливими макросами XLM, що використовувалися в попередніх кампаніях, приписуваних групі, використовується фішингове посилання. Посилання веде на підроблену сторінку вебсайту, де розміщене зловмисне програмне забезпечення.
Згідно з повідомленням CERT-UA, така ж методика була застосована і під час кібератаки, здійсненої у червні 2022 року з використанням фішингового посилання на шахрайську вебсторінку, що імітує вебінтерфейс поштової служби Міністерства оборони України.
Один зі шкідливих файлів .exe під назвою "Detection_of_malicious_software.exe" (APERETIF), який використовувався під час цієї кібератаки, містить певний шлях «C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb», що дозволяє з високим рівнем достовірності зробити припущення про причетність до групи російськомовних учасників.
Виходячи з дати компіляції, початок використання шкідливого ПЗ APERETIF – не раніше 25 травня 2022 року.
Раніше використовувана функція ексфільтрації була пов’язана з крадіжкою детальної інформації про інфіковану систему, але вона не спостерігалась під час останньої кампанії.
Нові проаналізовані варіанти PowerShell плейлоадів містять інструкції щодо ексфільтрації знімків екрану, а також енумерованих файлів певних розширень разом із їхнім вмістом з директорії Desktop.
Завдяки забезпеченню персистентності на заражених хостах додаткові пейлоади можуть завантажуватись у разі необхідності.
Детальний аналіз активності, яка представляє потенційний ланцюжок зараження, розглядається у звіті.