Кібернапад UAC-0255, замаскований під сповіщення від CERT-UA із використанням інструменту AGEWHEEZE

Резюме

Кампанія фішингу, що маскується під CERT-UA, розповсюджувала архіви з паролем, які містили інструмент віддаленого доступу AGEWHEEZE. Написане на Go, шкідливе ПЗ дає повний віддалений контроль над інфікованими системами, включаючи зйомку екрану, емулювання введення, операції з файлами та постійність. Трафік командування і контролю передається через WebSockets до сервера, розміщеного на OVH, що слухає на порті 8443. Цільовими жертвами були українські урядові агентства, медичні установи, фінансові організації та освітні структури.

Розслідування

Дослідники CERT-UA зібрали фішингові листи, шахрайський вебсайт cert-ua.tech та зловмисні двійкові файли для аналізу. Статичний огляд виявив шляхи файлів, заплановані завдання та записи автозапуску реєстру, пов’язані з RAT, які використовуються для постійності. Мережевий аналіз ідентифікував сервер C2 на OVH з самоподписаним сертифікатом та слухачем WebSocket на 54.36.237.92:8443. Діяльність була відстежена під інцидентом UAC-0255.

Пом’якшення

Організації повинні блокувати повідомлення від невідомих відправників, що видають себе за CERT-UA, запобігати виконанню файлів, запущених з розташувань %APPDATA%, і контролювати описані заплановані завдання та ключі реєстру Run. Мережеві контролі повинні забороняти вихідні підключення до ідентифікованої IP C2 та пов’язаних доменів. Також слід застосувати політику найменш привілейованого доступу та оновлювати сигнатури антивірусного програмного забезпечення.

Відповідь

Захисники повинні виявляти двійкові файли AGEWHEEZE, заплановані завдання SvcHelper і CoreService, а також відповідні записи запуску в реєстрі. Вражені системи повинні бути ізольовані, зібрані летючі докази, і виконаний повний аналіз шкідливого програмного забезпечення. Необхідно повідомити відповідні національні CERT і оновити контент виявлення усіма виявленими IOC.

Симуляція виконання

Передумова: Перевірка телеметрії та базової лінії повинна бути успішною.

Мотив: Цей розділ деталізує точне виконання техніки супротивника (T1059), розробленої для спрацьовування правила виявлення. Команди і наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті генерувати точну телеметрію, яку очікує логіка виявлення.

• Розповідь про атаку і команди:
  Супротивник, який вже скомпрометував сесію користувача, хоче встановити постійність, встановивши AGEWHEEZE RAT. Вони копіюють двійковий файл RAT у %APPDATA%SysSvc каталог (відомий як папка “встановлення”), а потім виконують його через інтерпретатор командного рядка. Оскільки повний шлях до двійкового файлу відповідає одному з жорстко закодованих селекторів у правилі Sigma, Sysmon журнає створення процесу, в результаті чого правило запускається.

• Скрипт регресійного тесту: (запустити як скомпрометований користувач)

  # ---------------------------------------------------------
  # Симуляція завантаження та виконання AGEWHEEZE RAT для тестування виявлення
  # ---------------------------------------------------------
  
  # 1. Визначте цільовий шлях установки (одного з селекторів виявлення)
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # 2. Переконайтеся, що каталог існує
  if (-not (Test-Path -Path $targetDir)) {
      New-Item -ItemType Directory -Path $targetDir -Force | Out-Null
  }
  
  # 3. Створіть підставний виконуючий файл (тут ми копіюємо notepad.exe як заміну)
  $sourceExe = "$env:SystemRootSystem32notepad.exe"
  Copy-Item -Path $sourceExe -Destination $fullPath -Force
  
  # 4. Виконайте скопійований двійковий файл (імітування запуску RAT)
  Start-Process -FilePath $fullPath -WindowStyle Hidden
  
  # 5. Необов’язково: напишіть маркер на консоль для перевірки
  Write-Host "Симуляція AGEWHEEZE RAT виконана з $fullPath"
  # ---------------------------------------------------------

• Команди очищення: (виконати після перевірки)

  # ---------------------------------------------------------
  # Очищення артефактів симуляції AGEWHEEZE RAT
  # ---------------------------------------------------------
  
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # Завершіть усі залишкові процеси, які відповідають підставному виконаному файлу
  Get-Process -Name "notepad" -ErrorAction SilentlyContinue |
      Where-Object { $_.Path -eq $fullPath } |
      Stop-Process -Force
  
  # Видаліть двійковий файл та його папку
  Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue
  # Видаліть каталог, якщо він порожній
  if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) {
      Remove-Item -Path $targetDir -Force
  }
  
  Write-Host "Очищення завершено."
  # ---------------------------------------------------------