Атаковано макросами з завантаження програми для віддаленого адміністрування Український суд

31/08/2015

Чи атакують і як активно атакують державні органи України? Нас часто запитують про це. Динаміка останнього часу свідчить про зростання цільових атак на державні установи. У ході цих атак зловмисники все частіше намагаються отримати контроль над веб-серверами сайтів державних установ та заразити відомчі локальні мережі за допомогою надсилання електронних листів з додаванням шкідливого програмного забезпечення. З метою перешкоджання цим спробам ми розробили рекомендації з захисту електронної пошти та постійно ведемо роз’яснювальну роботу щодо кібербезпеки у мережі Інтернет.

 

Прикладами таких атак є нещодавні спроби дефейсу сайтів Львівської та Івано-Франківської облдержадміністрацій, які готувались та здійснювались дуже схожим чином та готувались до Дня Незалежності України. Очевидно, що це були спроби впливу на громадскість з метою дискредитації обличчя державної влади України. При цьому працювали по західній Україні і, на нашу думку, продовжують це робити далі.

 

Далі мова піде про одну зі спроб компрометації державних органів на заході України, яка полягала у зараженні українського міського суду, який знаходиться в Івано-Франківській області. Нами було проаналізовано excel файл, який містить вбудований макрос для подальшого завантаження шкідливого програмного забезпечення. Очевидно, що такі файли та макроси доставляються переважно електронною поштою. 

 

Даний файл має назву bolehiv_sud.xls. Назва обрана спеціально, щоб співробітники суду подумали, що  файл для них, і відкрили. Цілком можливо, що зловмисники цікавляться наслідками попередньої атаки на Іванофранківську ОДА і для цього хочуть отримати доступ до локальної мережі цього суду. 

Атрибути даного файлу: [bolehiv_sud.xls][c2021baf76fb1fde5b23efbe896b1cc8]

First submission: 2015-07-30 06:06:07 UTC

Last submission: 2015-07-30 09:45:24 UTC

 

Антивірусним програмним забезпеченням на момент першого завантаження цей зразок майже не детектувався (1 детект).

1

 

Після аналізу даного excel файлу виявилось, що це був макрос. 

2

 

З зазначеного вище малюнку видно, що макрос підвантажує exe-файл run.exe з наступного URL “hXXp://xscore.hol.es/download/”. Після завантаження даного файлу він перейменовується в файл SkypeUpdateScv.exe та зберігається в директорії %TMP% зараженого комп’ютера. На теперішній час, основними типами файлів, які створюють середовище для макровірусів є файли типу документи Microsoft Word (.doc) та Microsoft Excel (.xls). Макроси можуть бути потенційною загрозою для безпеки. Зловмисники можуть ввести у файл або документ шкідливі макроси, які можуть поширити вірус на комп’ютері. Параметри безпеки макросів містяться в Центрі безпеки та конфіденційності.

 

Не рекомендовано в налаштуваннях макросів вибирати наступні параметри:

  • Увімкнути всі макроси (не рекомендовано, оскільки можливе виконання потенційно небезпечного коду).
  • Довіряти доступ до об’єктної моделі проектів VBA.

Отже після експлуатації вразливості (макрос) на комп’ютер жертви завантажилось шкідливе програмне забезпечення (ШПЗ) SkypeUpdateScv.exe.

 Атрибути даного ШПЗ: [SkypeUpdateScv.exe][4bc5d5be22249318d33b827441bd5404]

First submission 2015-08-04 03:43:13 UTC

Last submission 2015-08-04 03:43:13 UTC

Даний файл має розширення RAR SFX.

3

 

З малюнку вище видно, що даний архів містить програму для віддаленого адміністрування TeamViewer та всі необхідні їй для цього компоненти. TeamViewer – це пакет програмного забезпечення  для віддаленого контролю комп’ютерів, обміну файлами між керуючою та керованою машинами. Крім прямого з’єднання, доступ можливий через брандмауер і NAT проксі, можливо отримання доступу до віддаленої машини за допомогою веб-браузера. Після запуску даного архіву в диспетчері задач залишився процес TeamViewer.exe. Спостерігаються періодичні відстуки на наступні адреси:

ping3.teamviewer.com 37.252.248.78

master5.teamviewer.com 178.77.120.6

master11.teamviewer.com 178.77.120.100

 

Це свідчить про стандартні відстуки, коли встановлена та працює програма TeamViewer.

З’єднання між зловмисником та комп’ютером-жертвою проходить через згенерований раніше ID та пароль, який надає доступ зловмиснику для віддаленого керування та адміністрування атакованого комп’ютера.

 

Рекомендації CERT-UA щодо уникнення подібних спроб заражень:

1) правильне налаштування політики безпеки для програмного забезпечення Microsoft Office, а саме: Вимкнути всі макроси зі сповіщенням

Вимкнути всі макроси, крім макросів із цифровим підписом

2) користуватись антивірусним програмним забезпеченням;

3) увімкнення брандмауера;

4) не відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником).

 

Додатково від 01.09.2015: з заражених ПК (тобто з тих хто отримав листа з атачментом та відкрив його офісом) здійснено розсилку електронної пошти усім наявним на цих ПК адресатам! Близько 30 установ, особливо регіональних підрозділів Пенсійного фонду України, отримали такі листи. У жодному разі не відкривайте підозрілих листів, перевіряйте атачменти перед відкриттям за допомогою антивірусів та зв’яжіться перед відкриттям атачменту з його відправником і з’ясуйте чи відправляв він Вам цей лист з такими ж додатками. 

Додатково від 04.09.2015: подальший аналіз атаки показав, що використовувався зразок шкідливого програмного забезпечення TVSPY, який розповсюджується, використовуючи вразливість у 6 версії TeamViewer. Такий зразок можна купити за 400$ та очевидно те, що його користувач у нашому випадку — скоріш за все, російськомовний.

Сервер контролю та управління даним зразком шкідливого програмного забезпечення («адмінка») знаходиться за адресою — http://xscore.hol.es/getinfo.php та вона закрита списками доступу з певних адрес. Ми намагаємось отримати додаткову інформацію від наших закордонних партнерів.

Для того, щоб продавцю цього зразка було цікавіше, пропонуємо увазі користувачів мережі Інтернет інші «адмінки» покупців його вірусу:

http://78.47.135.84/contacts/getinfo.php
http://91.121.44.159/tvddj39/gerinfo.php
http://91.215.155.46/tv/getinfo.php
http://91.215.155.48/tv/getinfo.php
http://92.53.96.101/getinfo.php
http://109.234.35.77/btrtrxirmi/getinfo.php
http://162.211.230.170/tv/getinfo.php
http://178.63.249.40/awstat/getinfo.php
http://194.63.142.171/tv/getinfo.php
http://206.su/admin42/getinfo.php
http://ac.myjino.ru/getinfo.php
http://aflnatour.ru/admin/getinfo.php
http://aflnatour.ruadmin/getinfo.php
http://bestkassa.com/tb/getinfo.php
http://blackvfl.com/tv0/getinfo.php
http://bo1324522.com/tv/getinfo.php
http://cdn-rskp.com/cdn/getinfo.php
http://cofewariiroirm.ru/1/getinfo.php
http://darlingday.ru/getinfo.php
http://doomns.mooo.com/getinfo.php
http://f1rst.name/tv/getinfo.php
http://filidaro.com/rvbtdsf/getinfo.php
http://jmai1.com/tv/getinfo.php
http://mmm-svoboda2012.ru/getinfo.php
http://nynewsguardianinternet.com/NotebookFront/getinfo.php
http://statisticsystic.com/telekinect/getinfo.php
http://tim-t.ru/getinfo.php
http://tvincoming.com/adm/getinfo.php
http://util4u.com/ctrl/getinfo.php
http://wowcofes.ru/getinfo.php

Цікаво відмітити, що заливки зразків відбувались з електронних поштових адрес: sonofabitch@ua.fm та mrburns@nm.ru.

 

Будьте пильними та повідомляйте CERT-UA про отримання Вами подібних листів!