Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

v5qeqUlm0S429AnrFZiG5EWcwOFGy23GIy4qcBsZ.png

CERT-UA було повідомлено про розсилку шкідливого програмного забезпечення AZORult. AZORult - викрадач паролів, має функціонал для збору збережених паролів в браузерах, поштових клієнтах (Outlook, Thunderbird), FTP клієнтах (Filezilla, WinSCP), інформацію про криптогаманці. Також, може збирати інформацію про файлову систему, запущені процеси, викрадати листування месенджерів та надає хакерам можливість завантаження та віддаленого запуску файлів в системах жертв.

 

Індикатори компрометації (ІОС):

Шкідливі файли:

 

File name:   QUOTATION N0AB.doc

SHA-256 3cf7272c35aad460bd3c162e4e1499c383ac06dec02ef36e506eb50d9e84116f

https://www.virustotal.com/#/file/3cf7272c35aad460bd3c162e4e1499c383ac06dec02ef36e506eb50d9e84116f/detection

 

File name   PO.jpg (EXE)

SHA-256 6767b6974e104025cac4ace55ca70580b8d838415900be85b6c193efc79921a4

https://www.virustotal.com/#/file/6767b6974e104025cac4ace55ca70580b8d838415900be85b6c193efc79921a4/detection

 

Шкідливі домени та ІР (С2):

67.199.248.10

67.199.248.11

192.198.87.130

185.193.38.78

 

Автозапуск:

office.exe  Diagnose SQL Server performance issues  Syenergy Consulting & Representation Ltd    c:\users\operator\appdata\roaming\microsoft\windows\start menu\programs\startup\office.exe  15.04.1992 16:05   

office.lnk  Diagnose SQL Server performance issues  Syenergy Consulting & Representation Ltd    c:\users\operator\appdata\roaming\microsoft\windows\start menu\programs\startup\office.exe  15.04.1992 16:05

 

Вразливості:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11882

 

Корисні посилання:

https://pastebin.com/MwwZ7DyY

https://www.hybrid-analysis.com/sample/3cf7272c35aad460bd3c162e4e1499c383ac06dec02ef36e506eb50d9e84116f?environmentId=100

 

Рекомендації CERT-UA:

- рекомендуємо адміністраторам слідкувати за спробами підключення  до зазначених C2 IP-адрес, для виявлення потенційно заражених систем.

- не відкривайте вкладення у підозрілих повідомленнях та файлів з виконуваними форматами ;

- адміністраторам поштових серверів, зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;

- перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;

- обмежіть можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

- регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;

- періодично робіть повну перевірку "чутливих" комп'ютерів на предмет наявності шкідливого програмного забезпечення;

- регулярно оновлюйте програмне забезпечення;

Повідомити про інцидент