Як зазначено у минулорічній статті, Урядовою командою реагування на комп'ютерні надзвичайні події України CERT–UA у першому кварталі 2024 року розкрито зловмисний задум щодо проведення деструктивних кібератак у відношенні інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо– та теплопостачання (ОКІ) у десяти регіонах України. Для відстежування згаданої активності було створено окремий кластер загроз UAC–0133, який з високим рівнем впевненості мав відношення до UAC-0002 (Sandworm, APT44, Seashell Blizzard).
Разом з тим, починаючи з другої половини 2024 року було відмічено застосування нових тактик, технік та процедур, що, серед іншого, передбачали відправку жертві PDF–документу з посиланням, відвідування якого, у поєднанні з експлуатацією вразливості CVE–2024–38213, призводило до завантаження на комп'ютер LNK–файлу (розширення «pdf.lnk»), запуск якого призводив до виконання PowerShell-команди, що забезпечувала завантаження та відображення документу–приманки, а також завантаження, забезпечення персистентності (гілка «Run») та запуск EXE/DLL файлів.
Відомо, що у якості програмних засобів реалізації кіберазгрози, серед іншого, використовувалися такі: SECONDBEST / EMPIREPAST, SPARK, CROOKBAG (лоадер на GoLang). Водночас, в декількох випадках зловмисниками, з метою довготривалого викрадення документів, також було застосовано RSYNC.
Виходячи з результатів дослідження низки пов'язаних кампаній, що мали місце у період з липня 2024 року по лютий 2025 року, угрупуванням здійснено цільові атаки у відношенні підприємств-постачальників з Сербії, Чехії, України (зауважимо, що географія об'єктів атаки набагато ширша). Разом з цим, лише протягом серпня 2024 року в фокусі знаходились не менше дванадцяти логістичних підприємств України, що спеціалізуються на вантажоперевезеннях автомобільним, повітряним та морським транспортом (в тому числі, небезпечних та швидкопсувних вантажів). За цих обставин, з початку січня 2025 року по 20 лютого 2025 року, проведено кібератаки у відношенні чотирьох українських підприємств, які спеціалізуються на проектуванні та виробництві техніки для сушіння, транспортування та зберігання зерна (в т.ч., будівництві елеваторів), а також, не менше ніж двадцяти п'яти українських підприємств, що займаються розробкою автоматизованих систем управління технологічними процесами (АСУТП) та пов'язаними елктромонтажними роботами. Поверхневий аналіз портфоліо та тендерної документації дозволяє зробити висновок про те, що тільки компанії-постачальники рішень АСУТП надають послуги сотням українських підприємств, які забезпечують життєвоважливі функції, такі як енергозабезпечення (у тому числі постачання теплової енергії), водопостачання та водовідведення.
На етапі первинної компрометації зловмисники, під виглядом потенційного замовника, протягом декількох діб здійснюють листування з потенційної жертвою, підводячи її до необхідності ознайомлення з «технічною документацією» у вигляді PDF–документу зі спотвореним змістом.
Виявлення цієї активності (що відстежується за ідентифікатором UAC–0212, який є субкластером UAC–0002) свідчить про чіткі наміри щодо проникнення до комп'ютерних мереж постачальників послуг з метою подальшого використання отриманих даних для компрометації ІКС підприємств критичних галузей промисловості та життєзабезпечення.
В даній статті наведено відповідні індикатори кіберзагрози, а також приклади ланцюга ураження. У випадку, якщо опублікована інформація щодо кібератак виглядає «знайомою», ми просимо представників компаній-постачальників невідкладно вийти на зв'язок з CERT–UA для ініціації вжиття заходів з комп'ютерно-технічного дослідження та, за потреби, реагування на інцидент.
Попереджаємо, що ідентифікація і «перевірка антивірусом» (або «перевстановлення операційної системи») лише ураженого комп'ютера не вирішить проблеми, адже після первинної компрометації вже після декількох годин зловмисники здійснюють горизонатльне переміщення мережею з послідуючим закріпленням на серверному, активному мережевому обладанні, або автоматизованих робочих місцях користувачів.
Для спрощення атрибуції та моделювання даних ми наводимо індикатори кіберзагроз низки епізодів, що мали місце у 2024 році, а також посилання на публікації стосовно описаної активності компаній Microsoft та Strike Ready.
Індикатори кіберзагроз за посиланням
Джерело: CERT-UA