Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT28 здійснили фішингову операцію, що доставила архів RAR з захистом паролем під назвою UkrScanner.rar. Усередині архіву знаходився самоінсталюючий (SFX) виконуваний файл, який встановлював CredoMap_v2. Шкідливе програмне забезпечення краде та ексфільтрує облікові дані за допомогою HTTP POST на інфраструктуру, контрольовану зловмисниками, розміщену на платформі Pipedream. Інцидент був розкритий CERT-UA (національною CERT України).
Розслідування
CERT-UA отримала підозріле повідомлення, яке видавало себе за її організацію і містило RAR-вкладення з захистом паролем. Обстеження SFX-навантаження виявило двійковий файл CredoMap_v2 та його процедуру ексфільтрації облікових даних на базі HTTP. Аналітики відстежили вихідний трафік до eo2mxtqmeqzafqi.m.pipedream.net та 69.16.243.33. На основі інструментів та інфраструктури діяльність було приписано відомій групі загроз APT28.
Захист
CERT-UA заблокувала шкідливий домен Pipedream та пов’язану з ним IP-адресу. Користувачам було рекомендовано розглядати архіви з захистом паролем як високий ризик і перевіряти особу відправника через надійні канали. Запобігання виконання невідомих виконуваних файлів за допомогою управління ОС та політик безпеки на кінцевих точках.
Відповідь
Навчайте користувачів розпізнавати фішинг та підтверджувати відправників, особливо коли вкладення захищені паролем. Поліпшуйте фільтрацію електронної пошти для підозрілих архівів і виконуваних файлів та блокуйте відому ворожу інфраструктуру. Моніторте вихідний HTTP-трафік на предмет неочікуваних запитів POST до ненадійних доменів та швидко розслідуйте будь-які збіги.
“graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% Nodes email_phishing[“<b>Дія</b> – <b>T1566.001 Фішинг</b><br/><b>Назва</b>: Спірфішинг з вкладеннями<br/><b>Деталь</b>: Підробка електронної пошти CERT-UA з RAR, захищеним паролем”] class email_phishing action archive_rar[“<b>Файл</b> – <b>Назва</b>: UkrScanner.rar<br/><b>Тип</b>: Архів RAR з захистом паролем<br/><b>Техніка</b>: T1027.015 Стиск”] class archive_rar file sfx_payload[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: CredoMap_v2 (SFX)<br/><b>Техніка</b>: T1027.009 Вбудовані корисні навантаження”] class sfx_payload malware execution[“<b>Дія</b> – <b>T1204.002 Виконання користувачем</b><br/><b>Деталь</b>: Користувач відкриває RAR, вилучає SFX, який запускається”] class execution action credential_capture[“<b>Дія</b> – <b>T1056.003 Захоплення вводу</b><br/><b>Метод</b>: Захоплення облікових даних веб-порталу”] class credential_capture action web_service[“<b>Сервіс</b> – <b>Кінцева точка</b>: eo2mxtqmeqzafqi.m.pipedream.net<br/><b>Техніка</b>: T1567 Ексфільтрація через веб-сервіс”] class web_service service exfiltrated_data[“<b>Дані</b> – <b>Тип</b>: Викрадені облікові дані<br/><b>Ймовірне використання</b>: T1078 Дійсні облікові записи”] class exfiltrated_data data privileged_use[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/><b>Вплив</b>: Використання викрадених облікових даних для привілейованого доступу”] class privileged_use action %% Connections email_phishing u002du002d>|поставляє| archive_rar archive_rar u002du002d>|містить| sfx_payload sfx_payload u002du002d>|виконується як частина| execution execution u002du002d>|захоплює облікові дані через| credential_capture credential_capture u002du002d>|надсилає дані на| web_service web_service u002du002d>|отримує| exfiltrated_data exfiltrated_data u002du002d>|дозволяє| privileged_use “
Поточний хід атаки
Виявлення
Підозрілий первинний доступ APT28 через виявлення асоційованих файлів (через file_event)
Перегляд
Підозріле використання бібліотеки SQLite.Interop (через image_load)
Перегляд
IOC (HashSha256) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
IOC (HashMd5) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
IOC (HashSha1) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
IOC (SourceIP) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
IOC (Emails) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
IOC (DestinationIP) для виявлення: Кібератака групи APT28 з використанням шкідливої програми CredoMap_v2 (CERT-UA#4622)
Перегляд
Підозрілі HTTP POST запити на платформу Pipedream [Windows Network Connection]
Перегляд
Виконання шкідливого ПЗ CredoMap_v2 з SFX файлів [Windows Process Creation]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна бути успішно пройдена.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначене для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати знайдені TTP та прагнути генерувати саме ту телеметрію, яка очікується логікою виявлення. Абстрактні чи не пов’язані приклади можуть призвести до помилкового діагнозу.
-
Розповідь про атаку та команди:
Оператор APT28 отримує фішинговий електронний лист з RAR-архівом, захищеним паролем. Усередині знаходиться самоінсталюючий (SFX) виконуваний файл під назвоюUkrScanner.exe. Після вилучення архіву на машині жертви, оператор запускає SFX-заглушку, яка скидає та виконує шкідливу програму CredoMap_v2. ВиконанняUkrScanner.exeстворює подію створення процесу, що відповідає правилу виявлення.Кроки симуляції (виконуються на тестовому хості):
- Створіть фіктивний виконуваний файл з назвою
UkrScanner.exe(копіяpowershell.exeдля безпеки). - Запустіть фіктивний виконуваний файл, щоб імітувати виконання файлу SFX атакуючим.
- Створіть фіктивний виконуваний файл з назвою
-
Скрипт регресійного тесту:
# ============================== # Симуляція виконання CredoMap_v2 з SFX (UkrScanner.exe) # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. Підготуйте небезпечний замінник (копія powershell.exe) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. Переконайтесь, що файл виконуваний Unblock-File -Path $tempPath # 3. Запустіть фіктивну SFX-стаб (імітує запуск файлу атакуючим) Write-Host "Запускаю фіктивний SFX-виконуваний файл..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. Пауза для забезпечення інгестії SIEM Start-Sleep -Seconds 5 Write-Host "Симуляція завершена. Перевірте SIEM для виявлення процесу створення, що закінчується на 'UkrScanner.exe'." -
Команди очищення:
# Зупиніть всі залишені процеси powershell, що були запущені фіктивним виконуваним файлом (якщо є) Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # Видаліть фіктивний виконуваний файл $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "Очищення завершено: файл $tempPath видалено" }