Операция Texonto: Информационная операция против украиноязычных в контексте войны

Сеть

Email-адреса

• minregion@uaminagro[.]com
• minregion@minuaregion[.]org
• minregion@minuaregionbecareful[.]com
• minregion@uamtu[.]com
• mozua@ua-minagro[.]com
• mozua@minagroua[.]org
• minagroua@vps-3075.lethost[.]network
• happyny@infoattention[.]com
• happyny@stronginfo1[.]com
• happyny@infonotifi[.]com
• happyny@infonotification[.]com

Техники MITRE ATT&CK

Эта таблица составлена с использованием версии 14 фреймворка MITRE ATT&CK.

Странная смесь шпионажа, информационных операций и фальшивых фарм-сайтов может только напомнить нам о Callisto, известной группе кибершпионажа, связанной с Россией, против которой в декабре 2023 года было выдвинуто обвинение Министерство юстиции США. Callisto нацелена на правительственных чиновников, сотрудников аналитических центров и организации, связанные с военными, через фишинговые сайты, имитирующие обычных поставщиков облачных услуг. Группа также проводила дезинформационные операции, такие как утечка документов непосредственно перед всеобщими выборами в Великобритании в 2019 году. Наконец, переход по их старой сетевой инфраструктуре ведет к фейковым фарм-доменам, таким как musclepharm[.]top или ukrpharma[.]ovh.

Хотя между Operation Texonto и операциями Callisto существует несколько общих моментов на высоком уровне, мы не нашли никакого технического совпадения и в настоящее время не можем отнести Operation Texonto к какой-либо конкретной угрозе. Однако, учитывая TTP, цели и распространение сообщений, мы с высокой уверенностью относим операцию к группе, связанной с Россией.

Фишинговая кампания: октябрь–ноябрь 2023 г.

Сотрудники крупной украинской оборонной компании получили фишинговое письмо в октябре 2023 года, якобы от их IT-отдела. Письма были отправлены с адреса it.[redacted_company_name]@gmail.com, который, скорее всего, был создан специально для этой кампании, а тема письма звучала как Запрошено утверждение:Планова інвентаризація.

Содержание письма следующее:

У період з 02 жовтня по 13 жовтня співробітники відділу інформаційних технологій проводять планову інвентаризацію та видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у майбутньому, будь ласка, перейдіть на веб-версію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облікові дані.

Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус «підтверджений» і не буде видалена під час планової інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньому), то в цьому випадку Вам не потрібно виконувати жодних дій — поштову скриньку буде видалено автоматично 13 жовтня 2023 року.

З повагою,

Відділ інформаційних технологій.

В период с 2 по 13 октября сотрудники отдела информационных технологий проведут плановую инвентаризацию и удаление неиспользуемых почтовых ящиков. Если вы планируете использовать свой адрес электронной почты ([redacted_address]@[redacted_company_name].com) в будущем, пожалуйста, перейдите в веб-версию почтового ящика по этой ссылке и войдите в систему, используя свои учетные данные.

Никаких дополнительных действий не требуется, ваш почтовый ящик получит статус «подтвержденный» и не будет удален во время плановой инвентаризации ресурсов. Если этот адрес электронной почты не используется вами (или его использование не планируется в будущем), то в этом случае вам не нужно предпринимать никаких действий — почтовый ящик будет удален автоматически 13 октября 2023 года.

С уважением,

Отдел информационных технологий.

Цель письма — заставить жертв перейти по ссылке за цим посиланням, которая ведет на https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (частично отредактировано). Этот URL указывает на вредоносный домен login.microsoftidonline[.]com. Обратите внимание, что этот домен очень похож на официальный login.microsoftonline.com.

Нам не удалось получить фишинговую страницу, но, скорее всего, это была поддельная страница входа Microsoft, предназначенная для кражи учетных данных жертв.

Для другого домена, относящегося к Operation Texonto, choicelive149200[.]com, было два отправленных в VirusTotal (один и два) URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. К сожалению, сайт уже не был доступен на момент анализа, но, вероятно, это была страница для кражи учетных данных для веб-почты Outlook в Интернете/OWA eupolcopps.eu — Координационного офиса ЕС по поддержке палестинской полиции. Обратите внимание, что мы не видели образец письма, только URL, отправленный в VirusTotal.

Первая волна PSYOP: ноябрь 2023 г.

20 ноября мы обнаружили первую волну дезинформационных писем с вложением PDF, отправленных как минимум нескольким сотням получателей в Украине. Письма получили сотрудники украинского правительства, энергетических компаний и даже частные лица. Мы не знаем, как был составлен список адресов электронной почты.

В отличие от ранее описанной фишинговой кампании, целью этих писем было посеять сомнения в умах украинцев; например, в одном письме говорится: «Этой зимой возможны перебои с отоплением». Похоже, что в этой конкретной волне не было никаких вредоносных ссылок или вредоносного ПО, только дезинформация.

На Рисунке 2 показан пример письма. Его тема — Рекомендації моз україни на тлі дефіциту ліків, и письмо было отправлено с адреса mozua@ua-minagro[.]com. Обратите внимание, что этот адрес виден в полях envelope-from и return-path.

ua-minagro[.]com — это домен, управляемый злоумышленниками, и он использовался исключительно для отправки дезинформационных писем в этой кампании. Домен маскируется под Министерство аграрной политики и продовольствия Украины, законный домен которого — minagro.gov.ua.

К письму приложен PDF-документ, как показано на Рисунке 3. Хотя сам по себе он не является вредоносным, он также содержит дезинформационные сообщения.

Документ использует логотип Министерства здравоохранения Украины и объясняет, что из-за войны в Украине существует дефицит лекарств. Также говорится, что украинское правительство отказывается импортировать лекарства из России и Беларуси. На второй странице объясняется, как заменить некоторые лекарства растениями.

Интересно отметить, что письмо было отправлено с домена, маскирующегося под Министерство аграрной политики и продовольствия Украины, в то время как содержание касается дефицита лекарств, а в PDF используется логотип Министерства здравоохранения Украины. Возможно, это ошибка злоумышленников или, по крайней мере, показывает, что они не позаботились о деталях.

Помимо ua-minagro[.]com, для отправки писем в этой волне использовались еще пять доменов:

• uaminagro[.]com
• minuaregion[.]org
• minuaregionbecareful[.]com
• uamtu[.]com
• minagroua[.]org

minuaregion[.]org и minuaregionbecareful[.]com маскируются под Министерство по вопросам реинтеграции временно оккупированных территорий Украины, легитимный веб-сайт которого — https://minre.gov.ua/en/.

uamtu[.]com маскируется под Министерство развития общин, территорий и инфраструктуры Украины, легитимный веб-сайт которого — https://mtu.gov.ua.

Мы выявили еще три различных шаблона электронных писем, каждый с разным текстом письма и PDF-вложением. Сводка представлена в Таблице 1.

Таблица 1. Дезинформационные письма

Связанные PDF-вложения якобы от Министерства регионов Украины (см. Рисунок 4) и Министерства сельского хозяйства (см. Рисунок 5).

В последнем документе, якобы от Министерства сельского хозяйства, предлагается «ризотто из голубей», и даже приводится фотография живого голубя и приготовленного голубя… Это показывает, что эти документы были намеренно созданы, чтобы вызвать у читателей возмущение.

В целом, сообщения соответствуют общим темам российской пропаганды. Они пытаются заставить украинцев поверить, что у них не будет лекарств, еды и отопления из-за российско-украинской войны.

Вторая волна PSYOP: декабрь 2023 г.

Примерно через месяц после первой волны мы обнаружили вторую кампанию PSYOP-писем, нацеленную не только на украинцев, но и на жителей других европейских стран. Цели несколько случайны: от украинского правительства до итальянского производителя обуви. Поскольку все письма написаны на украинском языке, вероятно, иностранные адресаты являются украиноязычными. По данным телеметрии ESET, письма получили несколько сотен человек во время второй волны.

Мы обнаружили два разных шаблона писем в этой волне. Первое было отправлено 25 декабря и показано на Рисунке 6. Как и в первой волне, письма были отправлены с почтового сервера, управляемого злоумышленниками, в данном случае infoattention[.]com.

Машинный перевод текста письма:

Дорогие украинцы, поздравляем вас с самым теплым и семейным праздником — Новым годом!

Мы искренне хотим, чтобы вы встретили 2024 год в кругу семьи! Пусть ваши родные и близкие никогда не болеют! Берегите друг друга! Только вместе мы сможем изгнать сатанистов из США и их приспешников с родной русской земли! Возродим Киевскую Русь вопреки нашим врагам! Спасем жизни людей! Из России с любовью!

С праздником, дорогие друзья!

Второй шаблон письма, показанный на Рисунке 7, был отправлен 26 декабря 2023 года с другого почтового сервера: stronginfo1[.]com. Во время этой волны использовались два дополнительных адреса электронной почты:

• happyny@infonotification[.]com
• happyny@infonotification[.]com

Машинный перевод текста письма:

С Новым годом, братья-украинцы! В канун Нового года пора вспомнить, как хорошо иметь две пары ног и рук, но если вы потеряли одну из них, то не расстраивайтесь — это означает, что вы не встретите русского солдата в окопе. А если все ваши конечности целы, то мы вам не завидуем. Рекомендуем отпилить или отпилить хотя бы одну из четырех самостоятельно — пара минут боли, но потом счастливая жизнь!

С Новым годом, украинцы! Помните, что иногда одно лучше двух!

В то время как первая волна PSYOP-писем в ноябре 2023 года была довольно хорошо подготовлена, со специально созданными PDF-документами, которые были несколько убедительными, вторая кампания более проста и имеет более мрачный подтекст. Второй шаблон письма особенно тревожен, поскольку злоумышленники предлагают людям ампутировать ногу или руку, чтобы избежать военной службы. В целом, это имеет все характеристики PSYOP во время войны.

Спам от канадских аптек: январь 2024 г.

В совершенно неожиданном повороте событий один из доменов, использовавшихся для рассылки PSYOP-писем в декабре 2023 года, infonotification[.]com, начал использоваться для рассылки спама от канадских аптек 7 января 2024 года.

Пример приведен на Рисунке 8, а ссылка перенаправляет на поддельный сайт канадской аптеки onlinepharmacycenter[.]com. Спам-кампания была умеренно масштабной (по крайней мере, сотни сообщений), и люди во многих странах получали такие письма.

Письма отправлялись с адреса happyny@infonotification[.]com, что было подтверждено в заголовках писем:

Return-Path: <happyny@infonotification[.]com> Delivered-To: [redacted] [redacted] Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000

Спам от фальшивых канадских аптек — это бизнес, которым исторически занимались российские киберпреступники. Он был широко освещен в прошлом блогерами, такими как Брайан Кребс, особенно в его книге Spam Nation.

Связи между этими спам-кампаниями

Хотя мы не знаем, почему операторы PSYOP-кампаний решили повторно использовать один из своих серверов для рассылки спама от фальшивых аптек, вероятно, они поняли, что их инфраструктура была обнаружена. Следовательно, они могли решить попытаться монетизировать уже «сгоревшие» ресурсы, либо для собственной прибыли, либо для финансирования будущих шпионских операций или PSYOP. На Рисунке 9 показаны связи между различными доменами и кампаниями.

Заключение

С начала войны в Украине группы, связанные с Россией, такие как Sandworm, активно занимались разрушением украинской IT-инфраструктуры с использованием вайперов. В последние месяцы мы наблюдаем рост числа операций кибершпионажа, особенно со стороны печально известной группы Gamaredon.

Operation Texonto демонстрирует еще одно использование технологий для попытки повлиять на ход войны. Мы обнаружили несколько типичных поддельных страниц входа Microsoft, но, что наиболее важно, было две волны PSYOP через электронную почту, вероятно, для попытки повлиять и деморализовать украинских граждан сообщениями, вводящими в заблуждение по темам, связанным с войной.

Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.

По всем вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по APT-угрозам и потоки данных. По всем вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

IoCs

Файлы

Network

Email addresses

• minregion@uaminagro[.]com
• minregion@minuaregion[.]org
• minregion@minuaregionbecareful[.]com
• minregion@uamtu[.]com
• mozua@ua-minagro[.]com
• mozua@minagroua[.]org
• minagroua@vps-3075.lethost[.]network
• happyny@infoattention[.]com
• happyny@stronginfo1[.]com
• happyny@infonotifi[.]com
• happyny@infonotification[.]com

MITRE ATT&CK techniques

This table was built using version 14 of the MITRE ATT&CK framework.

Читать полный анализ на WeLiveSecurity →