Урядовою командою реагування на комп'ютерні надзвичайні події CERT-UA виявлено вебсайт hxxps://www.ukrainianworldcongress[.]info/, що копіює англійську версію вебресурсу міжнародної неурядової організації "Світовий конґрес українців" (легітимна сторінка hxxps://ukrainianworldcongress[.]org/).

На згаданому вебсайті розміщено два DOCX-документи "Overview_of_UWCs_UkraineInNATO_campaign.docx" (MD5: d227874863036b8e73a3894a19bd25a0) та "Letter_NATO_Summit_Vilnius_2023_ENG(1).docx" (MD5: 00ad6d892612d1fc3fa41fdc803cc0f3), кожен з яких містить у своїй структурі RTF-документ "afchunk.rtf" (MD5: 3ca154da4b786a7c89704d0447a03527), в якому знаходяться шкідливі URL-адреса та UNC-шлях.

Відкриття DOCX-документів та успішна експлуатація відповідних вразливостей ініціює ланцюг ураження, який, серед іншого, передбачає:

• взаємодію з інфраструктурою атакуючих з використанням SMB та HTTP
• завантаження і запуск CHM-файлу, який містить HTM та MHT (Web Archive) файли
• завантаження і запуск URL (InternetShortcut) файлу
• завантаження і запуск VBS файлу

При цьому, згаданий VBScript-файл забезпечує можливість запуску EXE, DLL, PS1, CPL файлів, що розміщено на SMB-ресурсі.

На момент дослідження отримано такі файли:

• "testdll.dll" (MD5: 8639c28a3fba0912fcf563b31f97d300)
• "testdll64.cpl" (MD5: e6f8b0299ca4d44bf09dc4e443fb503c)
• "calc.exe" (MD5: 76f918cbfa4075101a61aac74582f755)

Виконувані файли "testdll.dll" та "testdll64.cpl" ознак шкідливого програмного забезпечення не містять. Разом з тим, файл "calc.exe" класифіковано як шкідливу програму (лоадер) MAGICSPELL, призначенням якого є завантаження, дешифрування, забезпечення персистентності та запуск іншого виконуваного файлу.

Аналіз вмісту SMB-ресурсу дозволив встановити 195 IP-адрес, що використовувалися ЕОМ, з яких здійснювалася взаємодія з описаною інфраструктурою. Проте, аналіз IP-адрес свідчить про їх географічну розподіленість (близько 30 різних країн) та приналежність більшості з них до VPN-сервісів, дослідницьких організацій тощо.

Використання імені громадської організації "Світовий конґрес українців", а також тематики членства України в Організації Північноатлантичного договору як приманки може свідчити про те, що описана кібератака має відношення до Саміту НАТО, що проходитиме 11-12 липня 2023 року у Вільнюсі (Литовська Республіка).

Активність відстежується за ідентифікатором UAC-0168.

джерело