Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

FxG9AVSSHDIZA75cArIVImV4KONRme68ZDkSOb6a.jpeg

 

 

CERT-UA спільно зі Службою зовнішньої розвідки України виявлено нові модифікації шкідливого програмного забезпечення типу Pterodo на комп’ютерах державних органів України, яка ймовірно є підготовчим етапом для проведення кібератаки. Даний вірус збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери та очікує подальших команд.  


Версія: NEW-SAR_v.14

Основною відмінністю модифікації  від попередніх версій є можливість інфікування системи через флеш-накопичувачі та інші змінні носії інформації, а також інфікування флеш-накопичувачів, що підключаються до враженої машини для подальшого розповсюдження. Документи (.doc,.docx) , зображення (.jpg) та текстові файли  (.txt) копіюються в приховану папку MacOS з назвами FILE<довільне число>.<розширення> (наприклад FILE3462.docx),  а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу та виконання створеного шкідливого файлу usb.ini.
 

Тіло вірусу всіх версій виконує такі ж функції, як і попередні версії: надсилає інформацію про систему, самооновлюється та при наявності завантажує компоненти.

Крім того, дана версія активується лише на системах з локалізацією мов пострадянських держав, як-от: українська, білоруська, російська, армянська, азейбарджанська, узбекська, татарська та інші, - що ускладнює аналіз вірусу популярними автоматичними системами аналізу шкідливого програмного забезпечення.

Версія: arm_02.10

Основною відмінністю модифікації є відображення повідомлення при активації файлу, яке зменшує вірогідність допускати, що це запустилася шкідлива програма. Крім того, в даній версії для кожної враженої системи індивідульна url-директорія з серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» - серійний номер, що свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати та запускати.

 

«Почерк» шкідливого програмного забезпечення є характерним для цілеспрямованих APT атак і може свідчити про підготовку до цілеспрямованої кібератаки на комп’ютерні системи України. Бекдор Pterodo встановлює прихований доступ до комп’ютерних систем з метою використання або контролю в майбутньому, що може спричинити витік інформації, блокування роботи, шифрування даних та інші зловмисні дії.

Попередня версія Pterodo: https://cert.gov.ua/news/42
 


 

Індикатори компрометації (IOC):

Шкідливі домени та ІР (C2):

Версія: NEW-SAR_v.14:

hxxp://updates-spreadwork[.]pw  - домен станом на 2018-11-13 не активний.

Версія: arm_02.10:

hxxp://dataoffice.zapto[.]org

hxxp://bitsadmin.ddns[.]net

домени зареєстровані в організації, яка надає послуги динамічних доменних адрес (DDNS), що дозволяє швидко змінювати IP-адресу та приховувати реального власника домена.

Шкідливі файли:

Версія: NEW-SAR_v.14:

AdobeNetwork.exe (На флеш-накопичувачах -  usb.ini )

md5: A8734436C6948F6879BBA1DBA09D8810
https://www.virustotal.com/#/file/a866a2b490ac7215a041bf0497b75aa7dfe8f23bc8079d890cdfbf796acd2ead/detection


ImagingDevices.exe

md5:  834C709455BFEFB9B0E8976BAD13A8F4

https://www.virustotal.com/#/file/8b50e3ca06a22d0be6a71232b320137c776f80ac3f2c81b7440b43854b8a3bf0/detection


winhost.cmd

md5: C29E524436EA9CB42F27134DE631432B

https://www.virustotal.com/#/file/5f6642212d136066f89a48f13ae09a8b56a88ba3e0999e17c9d950c8eb43b800/detection


doc.lnk

md5: 1118184D160F5F341A46130BDD2468F2


jpg.lnk

md5: 6623F573AB668B7DA9068A714968E8E9


txt.lnk

md5: 8C4A0C394F83EDC9FF45EE77982A9904


Softwarelink.lnk

md5: 372BF4C5942769F216316E315CC50C9D


flash.vbs

md5: 7ACB1B099ADBE17A8D5194DA2637BE51


Директорії, в яких розміщуються вище згадані файли


Windows 7 та 10

%APPDATA%\Adobe\

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\


WinXP

%WINDIR%\Adobe

%USERPROFILE%\Главное меню\Программьі\Автозагрузка


Для всіх ОС:

%TMP%\7zSfz000\


Версія: arm_02.10:

"Документ Microsoft Office Word.com":

md5 605fe3746f003bce8a18be1f216afb72,

https://www.virustotal.com/#/file/84db40763f9bd2de3ad90457ef9239fa325ff863cdb9d48263c5adb0cb109776/detection


 "Cookie.exe":

md5 834c709455bfefb9b0e8976bad13a8f4,

програма wget.exe, не ідентифікована як шкідлива.


"Cookies.cmd":

md5 e0dfc17c215b7b767370dabcb39abff8.

https://www.virustotal.com/#/file/a14f31e8a55d5f0b6e02a168e5561e7e402e22295edc6cf6118bb2634dcb8994/detection        


"cokies.vbs":

md5 8ae5f3d79c4da3741bf9388543fe7479.

https://www.virustotal.com/#/file/f715505bce521c2d826f1e8237b582a2831082b5e2632600ad07c95072829a62/detection


"Cookies.sys":

md5 1e5446a3ee1d308a89338e18f24580bd,

https://www.virustotal.com/#/file/9020402e49cb7d9dcc81b70297b1b102dca3df70ad1e50dad8814d8543990d6d/detection


"document.rar":

md5 d5146737484fc5f2abb02a28b5383b30


"CookiesERR.lnk":

md5 649e69583e86412115ecaf926b5d2b20


"CookiesERR.cmd":

md5 f53abf8ec98d18088ae1e65c53a38320


macupdates.exe

для кожної системи може бути унікальний, однакова лише назва.


Директорії, в яких розміщуються вище згадані файли

%APPDATA%\Local\Temp\7ZipSfx.001

%APPDATA%\Local\Temp\7ZipSfx.000

%USERPROFILE%\CookiesERR\

%APPDATA%\Microsoft\IE\

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\

%USERPROFILE%\

 

Завдання в планувальнику завдань:

Версія: NEW-SAR_v.14:

Назва завдання

Дія (виконання файлу)

Інтервал повтору

AdobeNetwork

%AppData%\Roaming\Аdobe\ AdobeNetwork.exe

17хв

 

Версія: arm_02.10:

Назва завдання

Дія (виконання файлу)

Інтервал повтору

IE_CASH_6669A0AA_01

%AppData%\Roaming\Microsoft\IE\ie_cash.exe

60хв

IE_CASH_6669A0AA_02

%UserProfile%\setup.exe

61хв


Контрзаходи для видалення вірусу:

  • просканувати антивірусом ;
  • перевірити вищевказані директорії на наявність файлів. При виявлені файлів - видаліть їх з директорії;
  • перевірити планувальник завдань на наявність вищевказаних записів – видаліть їх.

Рекомендації щодо попередження загрози:

  • забезпечити заборону на відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів (та інше);
  • відключити автозапуск змінних носіїв інформації (флеш-накопичувачів) та перевіряти їх антивірусом при підключенні;
  • при наявності підозрілого листа від відомого адресата у телефонному режимі (або будь-яким іншим способом) перевірити відправлення такого листа, та у разі не підтвердження - зберегти його на диск, заархівувати і переслати для дослідження на нашу електронну адресу;
  • будьте пильними при будь-яких нестандартних ситуаціях, як-от відображення повідомлення операційною системою про неможливість відкриття файлу, необхідність установки програмного забезпечення, запит на дозвіл виконання операції;
  • відключити від мережі Інтернет підозрілий пристрій для подальшої перевірки;
  • вимкнути шифрування, якщо воно дозволено;
  • перевірити виключення макросів в редакторі Microsoft Office Word;
  • використовувати антивірус з оновленими базами сигнатур та ліцензійну, оновлену операційну систему та програмне забезпечення;
  • регулярно здійснювати резервне копіювання важливих файлів, оновлювати паролі доступу до важливих систем та сканувати системи антивірусом.

[ОНОВЛЕНО 22.11.2018]

 

Індикатори компрометації (IOC):

Шкідливі домени та ІР (C2):

natos-drp.ddns\.net
nato-drp.ddns\.net
ukraine-news.ddns\.net
ukraina-drp.ddns\.net
tovar-es.ddns\.net
start-usb.ddns\.net
sovetkirov.ddns\.net
singles-office.ddns\.net
single-office.ddns\.net
yousister.ddns\.net
wq03.ddns\.net
wq02.ddns\.net
wq01.ddns\.net
werdikt.ddns\.net
wareface.ddns\.net
vnc-new.ddns\.net
ut03.ddns\.net
ut02.ddns\.net
ut01.ddns\.net
us03.ddns\.net
us02.ddns\.net
us01.ddns\.net
topline.myftp\.org
sushi-bar.ddns\.net
po03.ddns\.net
po02.ddns\.net
po01.ddns\.net
pk03.ddns\.net
pk02.ddns\.net
pk01.ddns\.net
orizoh88.ddns\.net
optima-se.ddns\.net
new-club.ddns\.net
mykarina.ddns\.net
microsoft-single.ddns\.net
metro-exodus.ddns\.net
marishka.ddns\.net
macdocs.ddns\.net
karasto01.ddns\.net
gr03.ddns\.net
gr02.ddns\.net
gr01.ddns\.net
connect-updates.ddns\.net
chrome-update.ddns\.net
95.142.45.86
95.142.45.58
95.142.45.57
95.142.45.48
95.142.45.44
95.142.45.185
95.142.45.142
95.142.45.13
95.142.45.118
94.130.217.187
80.211.167.231
5.23.55.212
46.148.20.31
185.231.155.12
185.231.154.25
185.231.154.154
185.158.115.137

Додаткова інформація: 
https://twitter.com/ClearskySec/status/1065267790943268865
 

Повідомити про інцидент