GetSmoked: يعود UAC-0006 مع SmokeLoader الذي يستهدف أكبر بنك مملوك للدولة في أوكرانيا

عادت UAC-0006، وهي مجموعة تهديدات إلكترونية ذات دوافع مالية، إلى الظهور بحملة تصيد متطورة تستهدف عملاء أكبر بنك مملوك للدولة في أوكرانيا، PrivatBank. تستغل هذه الحملة الأرشيفات المحمية بكلمة مرور التي تحتوي على ملفات JavaScript و VBScript و LNK الضارة لتجاوز الكشف عن البرامج الضارة SmokeLoader ونشرها عبر حقن العملية وتنفيذ PowerShell. مع التداخلات القوية في التكتيكات والتقنيات والإجراءات (TTPs) مع FIN7 سيئة السمعة وغيرها من APTs الروسية، تهدف UAC-0006 إلى سرقة أوراق الاعتماد والبيانات المالية مع الحفاظ على الوصول المستمر إلى الأنظمة المخترقة. يجب على المؤسسات توخي اليقظة وتعزيز الوعي الأمني وتنفيذ معلومات قوية عن التهديدات لمواجهة هذا التهديد السيبراني المتزايد.

كوشيك بالم

February 5, 2025

ملخص تنفيذي

تستهدف حملات التصيد المستمرة من قبل UAC-0006، وهو عامل تهديد بدوافع مالية، عملاء أكبر بنك في أوكرانيا، PrivatBank. تستخدم هذه الحملة أرشيفات محمية بكلمة مرور تحتوي على ملفات JavaScript أو VBScript أو LNK ضارة لتجنب الاكتشاف. تتضمن الحمولات SmokeLoader، التي يتم تسليمها باستخدام حقن العمليات و PowerShell وثنائيات النظام الشرعية، مما يؤدي إلى اتصال C2 وتنفيذ الحمولة. تتداخل تكتيكات وتقنيات وإجراءات UAC-0006 (TTPs) مع تلك الخاصة بـ FIN7، مما يشير إلى العلاقات مع نشاط APT الروسي.

التحليل

استنادًا إلى سمات العينة، تمكنا من العثور على حملة نشطة يقوم بها ممثل التهديد. إنها حملة احتيال تحت عنوان الدفع تستهدف عملاء أكبر بنك مملوك للدولة في أوكرانيا.

حملة التصيد الاحتيالي تحت عنوان الدفع (تستهدف أكبر بنك مملوك للدولة في أوكرانيا)

تستهدف الجهات الفاعلة في مجال التهديد عملاء PrivatBank منذ نوفمبر 2024 على الأقل، حيث شوهدت أكثر من عشرين عينة متميزة في البرية منذ ذلك الحين.

1. إغراء التصيد الاحتيالي (SHA256): 5a0b48cc1a353c4ace5e9626 f17622611432a016577797d4d4c891 ca945 ffa7f8 (بنك خاص(_invoce_payment_20_12_2024.zip) يسقط 80 سنتيميتر 450 570 سي دي 338 أ 594546 (f9e) 6 (ج) 189 قدم مكعب (2) 849 (د) 3 (باك) 3759 سنتيمتر (53592) (aff) 30840 قدم (fb/90)19.12.2024p.pdf.js - يترجم إلى تعليمات الدفع رقم 187-FY بتاريخ 19.12.2024p.pdf.js)

‍

نص مترجم:

الحساب صالح لمدة ثلاثة أيام مصرفية. في حالة عدم الدفع خلال ثلاثة أيام مصرفية، سيتم تغيير المبلغ.

معلومات للعميل:

1. يتم الاحتفاظ باحتياطي المكونات (المواد) لمدة 5 أيام. تمديد فترة الاحتياطي ممكن

2. الوحدات الإلكترونية ولوحات الأدوات وقطع الغيار التي تم طلبها بشكل فردي وتبادلها وإعادتها

تحذير! يجب إصدار التوكيلات وفقًا للتعليمات رقم 99 المؤرخة 15 مايو 1996. في حالة شراء قطع الغيار، بما في ذلك الأشياء الثمينة. في حالة صيانة السيارة أو إصلاحها، لا يُقبل الإشارة إلى طراز السيارة ورقم التسجيل المكتوب على المبلغ.

‍‍

2. إغراء التصيد الاحتيالي (SHA256): e0c57518 aeef787 bcf7 cc13484486 cfa48458bdf6b0baee02598e777a3ef83f2 (invoce2.pdf) قطرات ca90047f4c8b5c6628e38f11c1b3411ac8f0040a2d72e35c1a37de1d9a127131 (السيكفا -----------) مسح نسخة من المالك.pdf.js) ودادا 50182ca98f75e0055f9b4a47d8ef3a6dda5c126cac309467c02257f3c1c0 (scqaşån-kıb4a47d8ef3c`vbs) - يترجم إلى نسخة ممسوحة ضوئيًا من Passport.vbs)

‍

‍

تدفق الهجوم

‍

*GetSmoked - تدفقات التنفيذ - أكتوبر 2024 إلى أوائل يناير 2025*

‍

*GetSmoked - تدفقات التنفيذ - أواخر يناير 2025*

‍

يرسل ممثل التهديد بريدًا إلكترونيًا احتياليًا يحتوي على مرفق zip/rar محمي بكلمة مرور. من المرجح أن تكون الأرشيفات محمية بكلمة مرور لتجنب عمليات التحقق من أمان البريد الإلكتروني.
يتم استخراج ملف جافا سكريبت ضار وVBScript ضار من الأرشيف. ال
تقوم جافا سكريبت بإجراء عملية الحقن في wscript.exe، والتي بدورها تقوم بتشغيل أمر powershell المشفر.
يهدف الأمر powershell إلى إكمال مهمتين:
1. أولاً، يفتح ملف PDF الذي كان من المفترض فتحه عندما يقوم المستخدم بتنزيل المرفق وتنفيذه.
2. ثانيًا، يتصل بخوادم C2 الخاصة بـ SmokeLoader لتنزيل وتنفيذ الحمولة النهائية التي يختارها ممثل التهديد.
في الآونة الأخيرة، بدأنا نرى UAC-0006 تستخدم إغراء LNK في طعوم التصيد الاحتيالي الخاصة بها. عند تنفيذ ملف.lnk، يتم تشغيل powershell.exe باستخدام وسيطات سطر الأوامر المحددة. يؤدي هذا إلى تشغيل mshta.exe لاسترداد وتنفيذ الملف المستضاف على خوادم C2.

‍

الإسناد

لقد لاحظنا ما يلي حول الجهات الفاعلة في التهديد:

إنهم مغرمون بإغراءات التصيد الاحتيالي مع قدرات ضارة.
إنهم يحبون فقط بوويرشيل.
لقد استهدفوا باستمرار أكبر بنك في أوكرانيا (مثال - رسائل البريد الإلكتروني المخادعة المتعددة المرسلة إلى Privatbank، أوكرانيا)

تتداخل هذه السمات بشكل وثيق مع ملف تعريف يو آك-0006، وهي مجموعة من الجهات الفاعلة في مجال التهديد بدوافع مالية. بين عامي 2023 و 2025، بدأت مجموعة الجهات الفاعلة في مجال التهديد في استخدام الروابط والنصوص البرمجية في حياتهم التصيد سلسلة الهجوم، بالإضافة إلى ما كان معروفًا علنًا وفقًا لـ التقرير السابق. يسلط هذا الضوء على تداخل TTP مع EmpireMonkey، وهي مجموعة من الجهات الفاعلة في مجال التهديد التي يبدو أنها مرتبطة مباشرة بـ Carbanak و/أو Anunak و/أو FIN7. من المهم ملاحظة أن FIN7 هي مجموعة APT روسية لها علاقات معروفة بمجموعة Black Basta ransomware.

‍

‍

التأثير

اختراق البيانات الحساسة: يخاطر ضحايا حملة التصيد الاحتيالي بالكشف عن البيانات الشخصية أو بيانات الشركة الحساسة، بما في ذلك بيانات الاعتماد والمعلومات المالية والأسرار التنظيمية، والتي يمكن استغلالها لمزيد من الهجمات أو بيعها في الأسواق السرية.
جمع بيانات الاعتماد والتجسس: تستهدف حملات التصيد الاحتيالي هذه الأفراد في الصناعات الرئيسية، مما قد يؤدي إلى تمكين أنشطة التجسس والوصول غير المصرح به إلى الأنظمة الحيوية والاضطرابات التشغيلية.
تلف العلامة التجارية وعدم الثقة: تواجه الشركات التي تنتحل شخصيتها في خدع التصيد الاحتيالي، مثل CMIT Solutions و Soho Square Solutions و Templar Protective Associates، ضررًا بالسمعة، مما يؤدي إلى تآكل الثقة بين عملائها وأصحاب المصلحة.
مخاطر سلسلة التوريد: يؤدي انتحال شخصية مقدمي الخدمات والاستشاريين إلى زيادة مخاطر الهجمات النهائية لسلسلة التوريد، مما قد يؤثر على المنظمات والصناعات المرتبطة.

‍التخفيف

المراقبة والحظر: مراقبة المؤشرات الضارة وحظرها بشكل استباقي باستخدام خلاصات معلومات التهديدات لمنع الوصول إلى القرص أو DNS أو الشبكة.
الاستجابة للحوادث وإعداد التقارير: تنفيذ قواعد يارا المحددة بناءً على العتبات الداخلية. وضع إجراءات قوية للاستجابة للحوادث لتحديد محاولات التصيد الاحتيالي واحتوائها بسرعة، وتشجيع الموظفين والمجتمع على الإبلاغ عن الأنشطة المشبوهة لتسهيل إجراءات الإزالة.
تدريب التوعية الأمنية: تثقيف الموظفين، وخاصة أولئك الذين يشاركون في التوظيف أو أدوار الموارد البشرية، للتعرف على محاولات التصيد الاحتيالي، مثل رسائل البريد الإلكتروني غير المرغوب فيها المتعلقة بالوظيفة من المجالات المشبوهة أو جهات الاتصال غير المألوفة.

‍المراجع

‍الملحق

رسم خرائط MITRE

‍

Tactics and Techniques Table

Tactic	Technique ID	Technique Name	Procedure Details
Initial Access	T1566.001	Spear-phishing Attachment	Threat actor delivers malicious archive files via AWS Titan Email containing JS/VBS or LNK files
Initial Access	T1547.001	Shortcut Modification	Uses .LNK files in newer variant of the campaign
Defense Evasion	T1027.002	Software Packing	Use of password-protected archives to evade email security controls
Defense Evasion	T1027	Obfuscated Files or Information	Use of encoded PowerShell commands to hide malicious activity
Execution	T1204.002	User Execution: Malicious File	Requires user to open the malicious attachment
Execution	T1059.007	JavaScript	Executes malicious JavaScript code
Execution	T1059.005	Visual Basic	Executes malicious VBScript code
Execution	T1059.001	PowerShell	Uses PowerShell to execute encoded commands
Execution	T1218.005	Mshta	Uses mshta.exe to retrieve and execute files (in LNK variant)
Privilege Escalation	T1055	Process Injection	JavaScript performs injection into wscript.exe
Command and Control	T1105	Ingress Tool Transfer	Downloads SmokeLoader malware from C2 server
Command and Control	T1571	Non-Standard Port	SmokeLoader communicates with C2 server
Defense Evasion	T1036	Masquerading	Opens legitimate PDF to mask malicious activity

‍

مؤشرات التسوية

‍

Indicators of Compromise

IOC(s)	Comments
Phishing Lures - October 2024 to January 2025 0a898f1df135d52ef5006f8dba9e9fce4ab4a85e07a9417f39c7612113eb6210 1043ce610dd6e8b0cda635dbe1f15524c25d816f89ad22f9bc34403ef8e771cc 107190bb8f28ed2bb2f0883ae1fbfe0e50cacc54c17dc526c865f6f46f40107a 119b79b9cdb773dc951c36fe35ea0237e5f035bda6493103399e3697dc929c3d 21bbe1929d20c5525349dabe58748798f9cdaa1abd25f13dc98b4c0b8ffdde23 31ba8ceffe689b570dc696c97291780288f16a15f91d3e55bf13d7dcdf3858a9 3216f4728788cc9a0416290d31a2fdc97bcd3f028582efc52dc1cd8208f0cebd 38eb41eebbc889d046d354de345cf7c073971f62c2aaf53163ecefb7914273cc 3998a0d2e96417ce234a79897df8bcb879295043ce3d7f188c7b3de7375b26e5 3bfb1a880ea62bb4ad24e98a3a641b85e2392942af59727701c57ed094e5554e 4a559be38d60d64cb378643cc4332f40fe94d5f6c4f71a4f593e4efcd918349c 4abf59022d70abac175ddd896e4d709d256ca56a7a9dd8a9805eb5f2af490576 527a4b00fc95ecb9c1308ccc4ebd6bac7c03053e8ed11cdeb08ac3a6af8775c3 5b259a3ce6c0ce88690eb15d71162a930f267d960e26e88d37c92403d747f44a 6d29acbbaf0c75eca458e3936dea7d20fceca415b897573b704d151c7e9261b8 75f20c4171c699a991c45671b46174b0879e1fcf83ee4cdc63af8d6a833698b3 7c3a1bbbcbd2a328d8fb70efbdc55efaeb23b8511955109facef5c6c20350afb 8a6466093bc38a5d075148fde75952372ab5d7bb991b74773d5e019e0e0145f0 993518e45c78f9cc19daefbabef980e2e16a5e2fa11036f1e98c6446efb38676 9aad92a2d4b310a344f102436f12d29c7ac635478918874181a18182e4f530b4 a2b10deef491ec1430f65157a411a47de0e9ad1431518b2fa4fe5f18a4f3e2bd b62d21ec1f54e7f7d343bc836e87a13adf9f40f87fc54a7d3788baea9a2c2b08 b815638024caac8bb7e482465564ec2a091f2af52cbf635be268e9093cbc4e92 bfc7164ed334044c780f0f15b56b559dfabbb0007ba268c180a281ac5bcc1f19 cd8dc77de5811a6a215e74cf61b3c34fcf28d5a05df5e4fc26fc9ad2ee72868b d143873322c13496b2fc580c07fead99c1679afe831202913cee522d88ff7795 d35cd24668474580161008eb655ce979400e382a58f0e6967b10a4d86343b6ec ee5a55588bbdfe6749da1962a9b7d1b29a87a10a324347070edd9e8ec33f7c82 f1d97e23cb0820e851d457dbb930576890e5bc6313cdf30d09f160cbdcdac90f f4222b240f88d43e6c63b9d9c09d93c10ba882b91fc4a61c0cd833f7c79b4c44 f72f2e0f0873885313dbde954f26acd1c02ed963512111b3f00cf7e9cd6e5e6d e8b08cb0774145ac432406f5e579aabaddb485ad29ba7d1eb1c5fb3000c5eefa 7722151293bdc50640c719a55438ffd663a3d2bccc70392cdce8052b651afea0 9833cbd22fd50181f8939114920e883bacf8d727337f5dcdf4450d0312eca188 a3aac43dd6a592c9ec58121a09c8cd22fb1b2d05ca1ff91259e43565d5e33022 e0c57518aeef787bcf7cc13484486cfa48458bdf6b0baee02598e777a3ef83f2 97fe6b08d8a40c1f6990ca5c7405fdc98e014cf1fdfc2646580bffd34c1160ec (Paxy_419_08_01_2025p_privat_bank_invoce.CHM) 5a0b48ccc1a353c4ace5e9626f17622611432a016577797d4c891ca945ffa7f8 (Privatbank_invoce_payment_20_12_2024.zip) 476a8e2d8eae4d2315e719bf67be312c5e88476509bdbac2dffee48986ad54c1 (paxynok_privatbank_06_01_2025p.zip)	SHA256 (PDFs, CHMs, zip, rar)
http://89.23.107[.]219/privat.exe http://3-zak-media[.]de/temp/paxynok_privatbank_06_01_2025p.zip http://3-zak-media[.]de/temp/gate.php http://89.23.107[.]219/invoce.pdf http://89.23.107[.]219/final.mp4 http://spotcarservice[.]ru/fdjskf88cvt/invoce.pdf http://spotcarservice[.]ru/fdjskf88cvt/invoce2.pdf http://spotcarservice[.]ru/fdjskf88cvt/putty1.exe http://spotcarservice[.]ru/fdjskf88cvt/yumba/putty.exe http://3-zak-media[.]de/krayer-buergerschaft/Web/bilder/putty1.exe http://cityutl[.]ru/download/pax.pdf http://cityutl[.]ru/download/putty.exe	Contacted URLs
connecticutproperty[.]ru constractionscity1991[.]lat restructurisationservice[.]ru spotcarservice[.]ru 3-zak-media[.]de cityutl[.]ru	SmokeLoader Command and Control servers
94.156.177[.]51 89.23.107[.]219 109.70.26[.]37	Contacted IPs

‍

YARA Rules Showcase

YARA Rules

rule Detect_Obfuscated_PowerShell_AES_Decryption {
    meta:
        author = "CloudSEK TRIAD"
        description = "Detects obfuscated PowerShell execution with AES decryption techniques"
        date = "2025-01-28"
        threat_actor = "Unknown"
        ttp = "Obfuscated PowerShell with AES decryption"

    strings:
        $powershell_flags = "-w 1 -ep Unrestricted -nop"
        $split_obfuscation = "return -split"
        $aes_create = "[Security.Cryptography.Aes]::Create()"
        $decryptor = ".CreateDecryptor("
        $transform_final_block = ".TransformFinalBlock("
        $char_array_join = "-join [char[]]"
        $custom_function_start = "function "
        $hex_processing = "-replace '..', '0x$& '"

    condition:
        uint16(0) == 0x5a4d and
        (
            all of ($powershell_flags, $split_obfuscation) or
            all of ($aes_create, $decryptor, $transform_final_block) or
            all of ($custom_function_start, $hex_processing)
        )
}

rule Detect_PowerShell_TTP_JS_PDF_Lure {
    meta:
        description = "Detects malicious PowerShell TTP triggered from .js in phishing PDF lures"
        author = "CloudSEK TRIAD"
        date = "2025-01-28"
        reference = "Threat intelligence analysis"
        tags = ["PowerShell", "phishing", "TTP", "malware", "PDF", "JS"]

    strings:
        $powershell_flags = "-w 1 -ep Unrestricted -nop"
        $function_def_bdhOG = "function bdhOG"
        $function_def_ujddZ = "function ujddZ"
        $aes_create = "([Security.Cryptography.Aes]::Create()).CreateDecryptor"
        $wscript_call = /"WScript\.exe" called "CreateProcessW" with parameter/i
        $embedded_js = /.*<\/script>/is

    condition:
        1 of ($powershell_flags, $function_def_bdhOG, $function_def_ujddZ, $aes_create) and
        $wscript_call and
        $embedded_js
}

Author

كوشيك بالم

GetSmoked: يعود UAC-0006 مع SmokeLoader الذي يستهدف أكبر بنك مملوك للدولة في أوكرانيا

February 5, 2025

min

Tactic

Technique ID

Technique Name

Procedure Details

Initial Access

T1566.001

Spear-phishing Attachment

Threat actor delivers malicious archive files via AWS Titan Email containing JS/VBS or LNK files

Initial Access

T1547.001

Shortcut Modification

Uses .LNK files in newer variant of the campaign

Defense Evasion

T1027.002

Software Packing

Use of password-protected archives to evade email security controls

Defense Evasion

T1027

Obfuscated Files or Information

Use of encoded PowerShell commands to hide malicious activity

Execution

T1204.002

User Execution: Malicious File

Requires user to open the malicious attachment

Execution

T1059.007

JavaScript

Executes malicious JavaScript code

Execution

T1059.005

Visual Basic

Executes malicious VBScript code

Execution

T1059.001

PowerShell

Uses PowerShell to execute encoded commands

Execution

T1218.005

Mshta

Uses mshta.exe to retrieve and execute files (in LNK variant)

Privilege Escalation

T1055

Process Injection

JavaScript performs injection into wscript.exe

Command and Control

T1105

Ingress Tool Transfer

Downloads SmokeLoader malware from C2 server

Command and Control

T1571

Non-Standard Port

SmokeLoader communicates with C2 server

Defense Evasion

T1036

Masquerading

Opens legitimate PDF to mask malicious activity

IOC(s)

Comments

Phishing Lures - October 2024 to January 2025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 (Paxy_419_08_01_2025p_privat_bank_invoce.CHM)
5a0b48ccc1a353c4ace5e9626f17622611432a016577797d4c891ca945ffa7f8 (Privatbank_invoce_payment_20_12_2024.zip)
476a8e2d8eae4d2315e719bf67be312c5e88476509bdbac2dffee48986ad54c1 (paxynok_privatbank_06_01_2025p.zip)

SHA256 (PDFs, CHMs, zip, rar)

http://89.23.107[.]219/privat.exe
http://3-zak-media[.]de/temp/paxynok_privatbank_06_01_2025p.zip
http://3-zak-media[.]de/temp/gate.php
http://89.23.107[.]219/invoce.pdf
http://89.23.107[.]219/final.mp4
http://spotcarservice[.]ru/fdjskf88cvt/invoce.pdf
http://spotcarservice[.]ru/fdjskf88cvt/invoce2.pdf
http://spotcarservice[.]ru/fdjskf88cvt/putty1.exe
http://spotcarservice[.]ru/fdjskf88cvt/yumba/putty.exe
http://3-zak-media[.]de/krayer-buergerschaft/Web/bilder/putty1.exe
http://cityutl[.]ru/download/pax.pdf
http://cityutl[.]ru/download/putty.exe

Contacted URLs

connecticutproperty[.]ru
constractionscity1991[.]lat
restructurisationservice[.]ru
spotcarservice[.]ru
3-zak-media[.]de
cityutl[.]ru

SmokeLoader Command and Control servers

94.156.177[.]51
89.23.107[.]219
109.70.26[.]37

Contacted IPs

YARA Rules

rule Detect_Obfuscated_PowerShell_AES_Decryption { meta: author = "CloudSEK TRIAD" description = "Detects obfuscated PowerShell execution with AES decryption techniques" date = "2025-01-28" threat_actor = "Unknown" ttp = "Obfuscated PowerShell with AES decryption" strings: $powershell_flags = "-w 1 -ep Unrestricted -nop" $split_obfuscation = "return -split" $aes_create = "[Security.Cryptography.Aes]::Create()" $decryptor = ".CreateDecryptor(" $transform_final_block = ".TransformFinalBlock(" $char_array_join = "-join [char[]]" $custom_function_start = "function " $hex_processing = "-replace '..', '0x$& '" condition: uint16(0) == 0x5a4d and ( all of ($powershell_flags, $split_obfuscation) or all of ($aes_create, $decryptor, $transform_final_block) or all of ($custom_function_start, $hex_processing) ) } rule Detect_PowerShell_TTP_JS_PDF_Lure { meta: description = "Detects malicious PowerShell TTP triggered from .js in phishing PDF lures" author = "CloudSEK TRIAD" date = "2025-01-28" reference = "Threat intelligence analysis" tags = ["PowerShell", "phishing", "TTP", "malware", "PDF", "JS"] strings: $powershell_flags = "-w 1 -ep Unrestricted -nop" $function_def_bdhOG = "function bdhOG" $function_def_ujddZ = "function ujddZ" $aes_create = "([Security.Cryptography.Aes]::Create()).CreateDecryptor" $wscript_call = /"WScript\.exe" called "CreateProcessW" with parameter/i $embedded_js = /.*<\/script>/is condition: 1 of ($powershell_flags, $function_def_bdhOG, $function_def_ujddZ, $aes_create) and $wscript_call and $embedded_js }