Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

valentin.jpg

Якщо Ви в період 13-15 лютого 2018 року отримували підозрілі електронні листи з посиланнями або вкладеннями просимо пересилати їх на пошту cert@cert.gov.ua для проведення аналізу.

14.02.2018 команда CERT-UA почала отримувати повідомлення про масову розсилку фішингових листів, в яких містилися посилання на завантаження шкідливих файлів. З аналізу виявилось, що різні файли в різних розсилках мають деякі спільні командно-контрольні центри (gordon6.hopto.org), з чого можна зробити висновок, що зазначені розсилки мають спільне коріння.

Відбулося декілька різних розсилок, які містили посилання на різні шкідливі файли.

Розсилка 1:

Відбувалася 13.02.2018 з електронної адреси antiteror2@ukr.net з темою повідомлення «Ситуационный анализ-прогноз».

-------------------------------------------------------------------------------------------------------

Это письмо содержит ссылки на временные файлы, которые будут удалены 22.02.2018. Пожалуйста, сохраните файлы на локальный диск.

feb_13_18.doc

-- 

С уважением, Матвеев Владимир Владимирович.

В листі містилось посилання на шкідливий файл:

hXXps://fex.net/load/241936161376/270094424 (зараз файл видалено)

Назва файлу: feb_13_18.doc.exe_

MD5 hash: de708aaf9ccb284bf68374cee4432ccf

https://www.virustotal.com/#/file/4b285dec3079e1a8b15fb875dedcd3aa4ff2eecf864b9f46df9d0da13a6fe9d1/detection

Після запуску файл створює приховану копію себе в директорії :

C:\Documents and Settings\<USER>\Application Data\realtec.exe.

Така назва вибрана навмисно, щоб користувач міг сплутати з аудіо драйверами realtek.

Також, забезпечує автозавантаження шкідливого файлу під виглядом програми Notepad.

%Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Notepad.lnk

Далі створює процес C:\Windows\SysWOW64\explorer.exe , в якому виділяє пам'ять і записує туди тіло шкідливого коду Schwarze-Sonne-Remote-Access-Trojan. Зазначений процес зв'язується з командно-контрольним центром.

 

Основним функціоналом даного програмного забезпечення є те, що воно встановлює віддалений доступ з комп'ютером жертви і може посилати команди на виконання.

Командно-контрольний центр:

gordon6.hopto.org (62.76.105.46) (Російська Федерація)

 

Розсилка 2:

Відбувалася 14.02.2018 з електронної адреси otkachenko@me.gov.ua з темою повідомлення «Нарада» та прикріпленими шкідливими файлами.

Інформація про файли:

Назва файлу: ____28.02.docx.exe

MD5 hash:  18332F5C624F7CB97645570C1C581CDC

https://www.virustotal.com/#/file/687bbaf89208397c476e41ca35b5e174cb8ebcd833f067a4b756c2426ed9da75/detection

Справжня назва файлу Nano.exe. Захищений  .Net Reactor протектором.

Запускає процес C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe і записує в нього шкідливий код Schwarze-Sonne-Remote-Access-Trojan. Цей процес зв'язується з кк центром gordon6.hopto.org.

Файли, які створюються:

C:\Users\Morder\AppData\Local\Temp\Rar$DRa0.617\Nano.exe

Також вірус модифікує та запускає файл:

C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe  

 

Назва файлу: Як зміняться зарплати військовослужбовців у 2018 році

MD5 hash:  5198377A7355523817FE055893391ABE

https://www.virustotal.com/#/file/127429738c0b8bad3220f169b7cba209f73babd464f48028276323034efbabfb/detection

Врзаливості, які використовуються:

CVE-2017-8759 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

Цей файл є xml, який використовує вразливість CVE-2017-8759. Він має вигляд презентації, але коли його запускають експлоїт дає можливість віддаленого доступу.

 

Командно-контрольні центри:

52.71.211.89 (США)

gordon6.hopto.org (62.76.105.46) (Російська Федерація)

 

Розсилка 3:

Відбувалася з електронної адреси a224368_1@s8.h.mchost.ru On Behalf Of Mission of Ukraine to NATO.

В листі містилися посилання на шкідливий файл:

hXXp://edisk.ukr.net/get/501023417/%D0%94%D0%BE%D0%BF%D0%BE%D0%B2%D1%96%D0%B4%D1%8C%20%D0%9D%D0%A3.doc.exe (зараз файл видалено)

 

 

Рекомендації:

1. Перевірити наявність отриманих повідомлень клієнтів поштового серверу, для визначення потенційно вражених користувачів.

2. Перевірити наявність переходів за посиланнями, які містили шкідливі файли, для визначення потенційно вражених користувачів.

3. Провести заходи з виявлення та видалення ШПЗ.

4. Оновити антивірусну базу та просканувати потенційно заражені системи.

5. Заблокувати доступ до домену gordon6.hopto.org та IP-адрес  52.71.211.89,

62.76.105.46. Також, рекомендуємо адміністраторам слідкувати за спробами підключення  до зазначених адрес, для виявлення потенційно заражених систем.

6. Завантажити оновлення, яке усуває вразливість CVE-2017-8759

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759

 

 

 

Індикатори компрометації (IOC):

Назви файлів:

feb_13_18.doc.exe_

____28.02.docx.exe

Qu9Cw0YLQuCDQstGW0LnRgdGM0LrQvtCy0L7RgdC70YPQttCx0L7QstGG0ZbQsiDRgyAyMDE4INGA0L7RhtGWLnBwc3g=?=

Nano.exe

=?UTF-8?B?0J3QsNGA0LDQtNCwIDI4LjAyLmRvY3guZXhl?=

 

MD5:

de708aaf9ccb284bf68374cee4432ccf

18332F5C624F7CB97645570C1C581CDC

5198377A7355523817FE055893391ABE

 

Шкідливі файли, які створюються:

C:\Users\Morder\AppData\Local\Temp\Rar$DRa0.617\Nano.exe

C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe

C:\Documents and Settings\<USER>\Application Data\realtec.exe

 

C&C:

52.71.211.89 (US)

62.76.105.46 (RU)

gordon6.hopto.org

 

Шкідливі посилання (Malicious Links):

hXXps://fex.net/load/241936161376/270094424

hXXp://edisk.ukr.net/get/501023417/%D0%94%D0%BE%D0%BF%D0%BE%D0%B2%D1%96%D0%B4%D1%8C%20%D0%9D%D0%A3.doc.exe

 

Поштові адреси (Email):

antiteror2@ukr.net

a224368_1@s8.h.mchost.ru

otkachenko@me.gov.ua

 

Корисні посилання:

https://www.virustotal.com/#/file/4b285dec3079e1a8b15fb875dedcd3aa4ff2eecf864b9f46df9d0da13a6fe9d1/detection

https://www.virustotal.com/#/file/687bbaf89208397c476e41ca35b5e174cb8ebcd833f067a4b756c2426ed9da75/details

https://www.virustotal.com/#/file/127429738c0b8bad3220f169b7cba209f73babd464f48028276323034efbabfb/details

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759

 

 

Повідомити про інцидент