informações gerais
A equipe do governo para responder a emergências informáticas na Ucrânia CERT-UA recebeu um e-mail do participante da troca de informações com o tópico “Cyberattack”, supostamente enviado em nome do CERT-UA com um anexo na forma de senha- arquivo RAR protegido “UkrScanner.rar”.
Fica estabelecido que o referido arquivo contém o arquivo SFX de mesmo nome, que, por sua vez, contém o programa malicioso CredoMap_v2. A diferença entre esta versão do modelador e a anterior é que ela usa o protocolo HTTP para filtrar os dados. Com a ajuda de solicitações HTTP POST, os dados de autenticação roubados são enviados para um recurso da Web implantado na plataforma Pipedream.
A atividade está associada às atividades do grupo APT28 (UAC-0028).
O CERT-UA tomou medidas para bloquear o recurso. No entanto, no caso de receber tais cartas, informe imediatamente.
Indicadores de compromisso
Arquivos:
87b05a2442146a517e6aa1da5db8ae27 8724ec45a26dd07023e755cbf2a3c02548f719a63d0ffbfc42954f2b4f7c1405 UkrScanner.rar 721521273d12775eb6518c0eeaeeac8b d1839e491b34764fbd9f51895b639a97bc7d5a1ef8f57ba87545f8b3b9bc7e7a UkrScanner.exe (SFX) d3b3aa56f1056df4c32cd2bc477e513b 778eed2fb4bbce4755cdf923f3fddc16155a478b44f90dc613ed2811a8efe066 scan.exe (CredoMap_v2) 56a504a34d2cfbfc7eaa2b68e34af8ad 9309fb2a3f326d0f2cc3f2ab837cfd02e4f8cb6b923b3b2be265591fd38f4961 SQLite.Interop.dll (DLL legítimo)
Rede:
mariachandran@ginaengg[.]com 69[.]16.243.33 (Received) hxxps://eo2mxtqmeqzafqi.m.pipedream[.]net eo2mxtqmeqzafqi.m.pipedream[.]net
Recomendações
1. Para espalhar programas maliciosos, links, etc., os invasores usam tópicos atuais e endereços de e-mail comprometidos de funcionários de órgãos estatais da Ucrânia. Enfatizamos a necessidade de estarmos atentos (a presença de uma senha para o anexo na carta – um exemplo de um dos sinais de uma ameaça potencial).
2. O CERT-UA utiliza a plataforma MISP e e-mail com o uso de assinaturas digitais eletrônicas para troca de informações sobre ameaças cibernéticas.
3. O lançamento de ficheiros executáveis de terceiros deve ser bloqueado ao nível dos mecanismos do sistema operativo e/ou funcionalidades de segurança.
Imagens gráficas
Com informações do The Press Office SSSCIP Ucrânia
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.