|
SHA-1 |
Имя файла |
Детект ESET |
Описание |
|
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraud.CDY |
PDF, использованный в инфооперации против Украины. |
|
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
PDF, использованный в инфооперации против Украины. |
|
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
PDF, использованный в инфооперации против Украины. |
|
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
PDF, использованный в инфооперации против Украины. |
Сеть
|
IP |
Домен |
Хостинг-провайдер |
Впервые замечен |
Детали |
|
N/A |
navalny-votes[.]net |
N/A |
09.09.2023 |
Домен, связанный с Алексеем Навальным. |
|
N/A |
navalny-votesmart[.]net |
N/A |
09.09.2023 |
Домен, связанный с Алексеем Навальным. |
|
N/A |
navalny-voting[.]net |
N/A |
09.09.2023 |
Домен, связанный с Алексеем Навальным. |
|
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
25.12.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
23.11.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
25.12.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
21.11.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
20.11.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
28.12.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
89.116.52[.]79 |
uaminagro[.]com |
IPXO LIMITED |
17.11.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
26.10.2023 |
Фишинговый сервер. |
|
185.12.14[.]13 |
infonotification[.]com |
Serverius |
28.12.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
|
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
03.10.2023 |
Фишинговый сервер Office 365. |
|
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
21.11.2023 |
Сервер, использовавшийся для отправки писем в рамках операции Texonto. |
Email-адреса
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]network
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Техники MITRE ATT&CK
Эта таблица составлена с использованием версии 14 фреймворка MITRE ATT&CK.
|
Тактика |
ID |
Название |
Описание |
|
Разработка ресурсов |
Приобретение инфраструктуры: Домены |
Злоумышленники покупали доменные имена у Namecheap. |
|
|
Приобретение инфраструктуры: Сервер |
Злоумышленники арендовали серверы у Nice IT, Hostinger, Serverius и BlueVPS. |
||
|
Первоначальный доступ |
Фишинг |
Злоумышленники отправляли письма с дезинформационным контентом. |
|
|
Фишинг: Целевой фишинг со ссылкой |
Злоумышленники отправляли письма со ссылкой на фейковую страницу входа Microsoft. |
||
|
Обход защиты |
Маскировка |
Злоумышленники использовали доменные имена, похожие на официальные домены украинского правительства. |
Странная смесь шпионажа, информационных операций и фальшивых фарм-сайтов может только напомнить нам о Callisto, известной группе кибершпионажа, связанной с Россией, против которой в декабре 2023 года было выдвинуто обвинение Министерство юстиции США. Callisto нацелена на правительственных чиновников, сотрудников аналитических центров и организации, связанные с военными, через фишинговые сайты, имитирующие обычных поставщиков облачных услуг. Группа также проводила дезинформационные операции, такие как утечка документов непосредственно перед всеобщими выборами в Великобритании в 2019 году. Наконец, переход по их старой сетевой инфраструктуре ведет к фейковым фарм-доменам, таким как musclepharm[.]top или ukrpharma[.]ovh.
Хотя между Operation Texonto и операциями Callisto существует несколько общих моментов на высоком уровне, мы не нашли никакого технического совпадения и в настоящее время не можем отнести Operation Texonto к какой-либо конкретной угрозе. Однако, учитывая TTP, цели и распространение сообщений, мы с высокой уверенностью относим операцию к группе, связанной с Россией.
Фишинговая кампания: октябрь–ноябрь 2023 г.
Сотрудники крупной украинской оборонной компании получили фишинговое письмо в октябре 2023 года, якобы от их IT-отдела. Письма были отправлены с адреса it.[redacted_company_name]@gmail.com, который, скорее всего, был создан специально для этой кампании, а тема письма звучала как Запрошено утверждение:Планова інвентаризація.
Содержание письма следующее:
У період з 02 жовтня по 13 жовтня співробітники відділу інформаційних технологій проводять планову інвентаризацію та видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у майбутньому, будь ласка, перейдіть на веб-версію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облікові дані.Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус «підтверджений» і не буде видалена під час планової інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньому), то в цьому випадку Вам не потрібно виконувати жодних дій — поштову скриньку буде видалено автоматично 13 жовтня 2023 року.З повагою,Відділ інформаційних технологій.
В период с 2 по 13 октября сотрудники отдела информационных технологий проведут плановую инвентаризацию и удаление неиспользуемых почтовых ящиков. Если вы планируете использовать свой адрес электронной почты ([redacted_address]@[redacted_company_name].com) в будущем, пожалуйста, перейдите в веб-версию почтового ящика по этой ссылке и войдите в систему, используя свои учетные данные.Никаких дополнительных действий не требуется, ваш почтовый ящик получит статус «подтвержденный» и не будет удален во время плановой инвентаризации ресурсов. Если этот адрес электронной почты не используется вами (или его использование не планируется в будущем), то в этом случае вам не нужно предпринимать никаких действий — почтовый ящик будет удален автоматически 13 октября 2023 года.С уважением,Отдел информационных технологий.
Цель письма — заставить жертв перейти по ссылке за цим посиланням, которая ведет на https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (частично отредактировано). Этот URL указывает на вредоносный домен login.microsoftidonline[.]com. Обратите внимание, что этот домен очень похож на официальный login.microsoftonline.com.
Нам не удалось получить фишинговую страницу, но, скорее всего, это была поддельная страница входа Microsoft, предназначенная для кражи учетных данных жертв.
Для другого домена, относящегося к Operation Texonto, choicelive149200[.]com, было два отправленных в VirusTotal (один и два) URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. К сожалению, сайт уже не был доступен на момент анализа, но, вероятно, это была страница для кражи учетных данных для веб-почты Outlook в Интернете/OWA eupolcopps.eu — Координационного офиса ЕС по поддержке палестинской полиции. Обратите внимание, что мы не видели образец письма, только URL, отправленный в VirusTotal.
Первая волна PSYOP: ноябрь 2023 г.
20 ноября мы обнаружили первую волну дезинформационных писем с вложением PDF, отправленных как минимум нескольким сотням получателей в Украине. Письма получили сотрудники украинского правительства, энергетических компаний и даже частные лица. Мы не знаем, как был составлен список адресов электронной почты.
В отличие от ранее описанной фишинговой кампании, целью этих писем было посеять сомнения в умах украинцев; например, в одном письме говорится: «Этой зимой возможны перебои с отоплением». Похоже, что в этой конкретной волне не было никаких вредоносных ссылок или вредоносного ПО, только дезинформация.
На Рисунке 2 показан пример письма. Его тема — Рекомендації моз україни на тлі дефіциту ліків, и письмо было отправлено с адреса mozua@ua-minagro[.]com. Обратите внимание, что этот адрес виден в полях envelope-from и return-path.
ua-minagro[.]com — это домен, управляемый злоумышленниками, и он использовался исключительно для отправки дезинформационных писем в этой кампании. Домен маскируется под Министерство аграрной политики и продовольствия Украины, законный домен которого — minagro.gov.ua.
К письму приложен PDF-документ, как показано на Рисунке 3. Хотя сам по себе он не является вредоносным, он также содержит дезинформационные сообщения.
Документ использует логотип Министерства здравоохранения Украины и объясняет, что из-за войны в Украине существует дефицит лекарств. Также говорится, что украинское правительство отказывается импортировать лекарства из России и Беларуси. На второй странице объясняется, как заменить некоторые лекарства растениями.
Интересно отметить, что письмо было отправлено с домена, маскирующегося под Министерство аграрной политики и продовольствия Украины, в то время как содержание касается дефицита лекарств, а в PDF используется логотип Министерства здравоохранения Украины. Возможно, это ошибка злоумышленников или, по крайней мере, показывает, что они не позаботились о деталях.
Помимо ua-minagro[.]com, для отправки писем в этой волне использовались еще пять доменов:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregion[.]org и minuaregionbecareful[.]com маскируются под Министерство по вопросам реинтеграции временно оккупированных территорий Украины, легитимный веб-сайт которого — https://minre.gov.ua/en/.
uamtu[.]com маскируется под Министерство развития общин, территорий и инфраструктуры Украины, легитимный веб-сайт которого — https://mtu.gov.ua.
Мы выявили еще три различных шаблона электронных писем, каждый с разным текстом письма и PDF-вложением. Сводка представлена в Таблице 1.
Таблица 1. Дезинформационные письма
|
Текст письма |
Машинный перевод текста письма |
|
Російськими військовими системно обстрілюються об’єкти енергетичної інфраструктури. У разі виникнення екстреної ситуації подача опалення та електрики в будинки може бути повністю припинена. Щоб вижити в такій ситуації, рекомендуємо вам наступне: |
Российские военные систематически обстреливают объекты энергетической инфраструктуры. В случае возникновения чрезвычайной ситуации подача отопления и электричества в дома может быть полностью прекращена. Чтобы выжить в такой ситуации, рекомендуем вам следующее: |
|
Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об’єкти енергетичної безпеки знаходяться під постійною загрозою. У зв’язку з цим, радимо взяти до уваги наступні рекомендації. |
Этой зимой возможны перебои с отоплением. Уровень температуры в домах может быть ниже допустимых значений на несколько градусов. В некоторых случаях возможно даже отключение отопления, объекты энергетической безопасности находятся под постоянной угрозой. В связи с этим, советуем принять во внимание следующие рекомендации. |
|
Міністерство охорони здоров’я попереджає про дефіцит ліків в аптеках — доставка деяких препаратів на тлі підвищеного попиту може затримуватися. З початком війни з РФ Україна повністю відмовилася від лікарських засобів російських і білоруських фармацевтичних компаній, доходи населення впали, а іноземні ліки, логістика яких змінилася і стала більш складною і вартісною, значно подорожчали. При цьому, найбільшим попитом у громадян України користуються групи препаратів для лікування хронічних захворювань, заспокійливі, знеболюючі та хірургічні засоби. На тлі виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувати безцінним досвідом перевірених століттями народних методів лікування і випустив відповідні рекомендації. |
Министерство здравоохранения предупреждает о дефиците лекарств в аптеках — доставка некоторых препаратов на фоне повышенного спроса может задерживаться. С началом войны с РФ Украина полностью отказалась от лекарственных средств российских и белорусских фармацевтических компаний, доходы населения упали, а иностранные лекарства, логистика которых изменилась и стала более сложной и дорогой, значительно подорожали. При этом, наибольшим спросом у граждан Украины пользуются группы препаратов для лечения хронических заболеваний, успокоительные, обезболивающие и хирургические средства. На фоне возникшего дефицита Минздрав Украины напомнил гражданам, что не стоит пренебрегать бесценным опытом проверенных веками народных методов лечения и выпустил соответствующие рекомендации. |
|
Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства рекомендує вам урізноманітнити раціон стравами з доступних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Пам’ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів. |
Агрессия России привела к значительным потерям в аграрном секторе Украины. Земли загрязнены минами, повреждены снарядами, окопами и движением военной техники. В большом количестве повреждена и уничтожена сельскохозяйственная техника, уничтожены зернохранилища. До стабилизации обстановки Министерство аграрной политики и продовольствия рекомендует вам разнообразить рацион блюдами из доступных дикорастущих трав. Употребление свежих, сочных листьев трав в виде салатов является наиболее простым, полезным и доступным. Помните, что собирать растения следует вдали от городов и поселков, а также от оживленных трасс. Предлагаем вам несколько полезных и простых в приготовлении рецептов. |
Связанные PDF-вложения якобы от Министерства регионов Украины (см. Рисунок 4) и Министерства сельского хозяйства (см. Рисунок 5).
В последнем документе, якобы от Министерства сельского хозяйства, предлагается «ризотто из голубей», и даже приводится фотография живого голубя и приготовленного голубя… Это показывает, что эти документы были намеренно созданы, чтобы вызвать у читателей возмущение.
В целом, сообщения соответствуют общим темам российской пропаганды. Они пытаются заставить украинцев поверить, что у них не будет лекарств, еды и отопления из-за российско-украинской войны.
Вторая волна PSYOP: декабрь 2023 г.
Примерно через месяц после первой волны мы обнаружили вторую кампанию PSYOP-писем, нацеленную не только на украинцев, но и на жителей других европейских стран. Цели несколько случайны: от украинского правительства до итальянского производителя обуви. Поскольку все письма написаны на украинском языке, вероятно, иностранные адресаты являются украиноязычными. По данным телеметрии ESET, письма получили несколько сотен человек во время второй волны.
Мы обнаружили два разных шаблона писем в этой волне. Первое было отправлено 25 декабря и показано на Рисунке 6. Как и в первой волне, письма были отправлены с почтового сервера, управляемого злоумышленниками, в данном случае infoattention[.]com.
Машинный перевод текста письма:
Дорогие украинцы, поздравляем вас с самым теплым и семейным праздником — Новым годом!
Мы искренне хотим, чтобы вы встретили 2024 год в кругу семьи! Пусть ваши родные и близкие никогда не болеют! Берегите друг друга! Только вместе мы сможем изгнать сатанистов из США и их приспешников с родной русской земли! Возродим Киевскую Русь вопреки нашим врагам! Спасем жизни людей! Из России с любовью!
С праздником, дорогие друзья!
Второй шаблон письма, показанный на Рисунке 7, был отправлен 26 декабря 2023 года с другого почтового сервера: stronginfo1[.]com. Во время этой волны использовались два дополнительных адреса электронной почты:
- happyny@infonotification[.]com
- happyny@infonotification[.]com
Машинный перевод текста письма:
С Новым годом, братья-украинцы! В канун Нового года пора вспомнить, как хорошо иметь две пары ног и рук, но если вы потеряли одну из них, то не расстраивайтесь — это означает, что вы не встретите русского солдата в окопе. А если все ваши конечности целы, то мы вам не завидуем. Рекомендуем отпилить или отпилить хотя бы одну из четырех самостоятельно — пара минут боли, но потом счастливая жизнь!
С Новым годом, украинцы! Помните, что иногда одно лучше двух!
В то время как первая волна PSYOP-писем в ноябре 2023 года была довольно хорошо подготовлена, со специально созданными PDF-документами, которые были несколько убедительными, вторая кампания более проста и имеет более мрачный подтекст. Второй шаблон письма особенно тревожен, поскольку злоумышленники предлагают людям ампутировать ногу или руку, чтобы избежать военной службы. В целом, это имеет все характеристики PSYOP во время войны.
Спам от канадских аптек: январь 2024 г.
В совершенно неожиданном повороте событий один из доменов, использовавшихся для рассылки PSYOP-писем в декабре 2023 года, infonotification[.]com, начал использоваться для рассылки спама от канадских аптек 7 января 2024 года.
Пример приведен на Рисунке 8, а ссылка перенаправляет на поддельный сайт канадской аптеки onlinepharmacycenter[.]com. Спам-кампания была умеренно масштабной (по крайней мере, сотни сообщений), и люди во многих странах получали такие письма.
Письма отправлялись с адреса happyny@infonotification[.]com, что было подтверждено в заголовках писем:
Return-Path: <happyny@infonotification[.]com> Delivered-To: [redacted] [redacted] Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000Спам от фальшивых канадских аптек — это бизнес, которым исторически занимались российские киберпреступники. Он был широко освещен в прошлом блогерами, такими как Брайан Кребс, особенно в его книге Spam Nation.
Связи между этими спам-кампаниями
Хотя мы не знаем, почему операторы PSYOP-кампаний решили повторно использовать один из своих серверов для рассылки спама от фальшивых аптек, вероятно, они поняли, что их инфраструктура была обнаружена. Следовательно, они могли решить попытаться монетизировать уже «сгоревшие» ресурсы, либо для собственной прибыли, либо для финансирования будущих шпионских операций или PSYOP. На Рисунке 9 показаны связи между различными доменами и кампаниями.
Заключение
С начала войны в Украине группы, связанные с Россией, такие как Sandworm, активно занимались разрушением украинской IT-инфраструктуры с использованием вайперов. В последние месяцы мы наблюдаем рост числа операций кибершпионажа, особенно со стороны печально известной группы Gamaredon.
Operation Texonto демонстрирует еще одно использование технологий для попытки повлиять на ход войны. Мы обнаружили несколько типичных поддельных страниц входа Microsoft, но, что наиболее важно, было две волны PSYOP через электронную почту, вероятно, для попытки повлиять и деморализовать украинских граждан сообщениями, вводящими в заблуждение по темам, связанным с войной.
Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.
По всем вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по APT-угрозам и потоки данных. По всем вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoCs
Файлы
|
SHA-1 |
Filename |
ESET detection name |
Description |
|
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraud.CDY |
PDF used in an information operation against Ukraine. |
|
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
PDF used in an information operation against Ukraine. |
|
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
PDF used in an information operation against Ukraine. |
|
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
PDF used in an information operation against Ukraine. |
Network
|
IP |
Domain |
Hosting provider |
First seen |
Details |
|
N/A |
navalny-votes[.]net |
N/A |
2023-09-09 |
Domain related to Alexei Navalny. |
|
N/A |
navalny-votesmart[.]net |
N/A |
2023-09-09 |
Domain related to Alexei Navalny. |
|
N/A |
navalny-voting[.]net |
N/A |
2023-09-09 |
Domain related to Alexei Navalny. |
|
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server used to send emails in Operation Texonto. |
|
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
Server used to send emails in Operation Texonto. |
|
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server used to send emails in Operation Texonto. |
|
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
Server used to send emails in Operation Texonto. |
|
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Server used to send emails in Operation Texonto. |
|
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
Server used to send emails in Operation Texonto. |
|
89.116.52[.]79 |
uaminagro[.]com |
IPXO LIMITED |
2023-11-17 |
Server used to send emails in Operation Texonto. |
|
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Phishing server. |
|
185.12.14[.]13 |
infonotification[.]com |
Serverius |
2023-12-28 |
Server used to send emails in Operation Texonto. |
|
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Office 365 phishing server. |
|
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
Server used to send emails in Operation Texonto. |
Email addresses
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]network
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
MITRE ATT&CK techniques
This table was built using version 14 of the MITRE ATT&CK framework.
|
Tactic |
ID |
Name |
Description |
|
Resource Development |
Acquire Infrastructure: Domains |
Operators bought domain names at Namecheap. |
|
|
Acquire Infrastructure: Server |
Operators rented servers at Nice IT, Hostinger, Serverius, and BlueVPS. |
||
|
Initial Access |
Phishing |
Operators sent emails with disinformation content. |
|
|
Phishing: Spearphishing Link |
Operators sent emails with a link to a fake Microsoft login page. |
||
|
Defense Evasion |
Masquerading |
Operators used domain names similar to official Ukrainian government domain names. |