Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

e7RLShatw1KpzgdJ2M7MXqmUAJ69igaq0bFbuVCN.jpeg

 

 

CERT-UA спільно зі Службою зовнішньої розвідки України виявлено спроби поширення за допомогою електронного листа з прикріпленим файлом – документом з розширенням ‘.docx’, який приховано завантажує інший документ легальним чином, але вже з макросами, які в свою чергу вже завантажують payload.

За результатами аналізу встановлено, що при відкритті документу “xxx.docx” відбувається завантаження іншого файлу з адреси “hххp://185.203.118.198/documents/Note_template.dotm” та його запуск у інфікованій системі. Таким чином виникає можливість віддаленого проникнення в систему для різних цілей, одна з яких може бути виведення з ладу інфікованої системи.

У файлів Word передбачена можливість використання шаблонів, які знаходяться на віддаленому сервері, чим і скористалися зловмисники. Код завантаження шаблону з макросами "Note_template.dotm" з адреси 185.203.118.198 прописується в компоненті “...word/_rels/settings.xml.rels” документу “xxx.docx”. У відкритому доступі є скрипт для додавання таких "шаблонів" до будь-якого документу з розширенням ‘.docx’ ( phishery/badocx на GitHub). Деякі антивіруси все ж таки виявляють такі #baddocx, як DOC/TrojanDownloader.Agent.

При відкритті “xxx.docx” відкривається вікно з повідомленням:

 

 

 

 

 

А після декількох секунд  повідомлення зникає та відкривається наступне, яке спонукає користувача включити виконання макросів:

 

 

 

 

 

В результаті виконання макросів із завантаженого шаблону в інфікованій системі змінюються реєстрові значення, включаючи Інтернет налаштування, значення конфігурації редактора MS Word, створюються додаткові файли та завантажується шкідливе програмне забезпечення.

За  інформацією з відкритих джерел завантажений файл з адреси  185.203.118.198 ідентифікувався як вірус #Zebrocy (див. https://pastebin.com/sXcERsQd), метою якого є крадіжка інформації групою #Sednit відомою як #APT28 або #Sofacy, або #STRONTIUM.

 

Індикатори компрометації (IOC):

Файли:

md5 efa1b414bf19ee295cc90f29332de4ed  ./61371653.docx

https://www.virustotal.com/#/file/abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74/detection


Контрольний сервер (С2):

185.203.118.198


Файлова активність:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

C:\Users\ххх\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S\wpad[1].htm

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AA5O6QQK\Note_template[1].htm

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\827B4022.htm

"C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UCWZNKQC\themedata[1].htm"

C:\Users\xxx\AppData\Roaming\Microsoft\Office\Recent\Note_template.dotm.url

"C:\Users\xxx\AppData\Roaming\Microsoft\Office\Recent\documents on 185.203.118.198.url"

"C:\Users\xxx\AppData\Roaming\Microsoft\Office\Word12.pip"


Події журналу системи:

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx


Реєстр:

HKLM\SYSTEM\ControlSet001\services\eventlog\System\mrxsmb\ParameterMessageFile

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge_TIMESTAMP

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge"

"HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork"

"HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{7BD29E01-76C1-11CF-9DD0-00A0C9034933} {000214E6-0000-0000-C000-000000000046} 0xFFFF"

"HKCU\Software\Microsoft\Office\12.0\Common\ReviewCycle\ReviewToken"

"HKCU\Software\Microsoft\Office\12.0\Word\File MRU\Item 1"

"HKCU\Software\Microsoft\Office\12.0\Word\Resiliency\DocumentRecovery\2DFC79\2DFC79"

"HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\Microsoft Office Word"

"HKCU\Software\Microsoft\Office\12.0\Word\Data\Settings"

"HKCU\Software\Microsoft\Office\12.0\Word\MTTF"

"HKCU\Software\Microsoft\Office\12.0\Word\MTTA"


Постійність у системі

"HKCU\Software\Microsoft\Office\12.0\Word\Resiliency\StartupItems\ci7"

Рекомендації CERT-UA:

- уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами;

- зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;

- перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;

- обмежіть можливість запуску виконуваних файлів (*.exe,*.js, *com, *.bs ) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;

- регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;

- регулярно робіть резервні копії важливого програмного забезпечення та данних;

- періодично робіть повну перевірку "чутливих" комп'ютерів на предмет наявності шкідливого програмного забезпечення;

- регулярно оновлюйте програмне забезпечення в тому числі компоненти системи;

-виключити макроси, якщо не використовуєте їх;

-перевірити налаштування Microsoft Word для обмеження чи заборони мережевого трафіку і дозволити тільки оновлення;

- також, рекомендуємо адміністраторам слідкувати за спробами підключення до зазначеної адреси, для виявлення потенційно заражених систем;

-звернути увагу на налаштування політики користування USB носіїв для обмеження інфікування шляхом їх використання;

 

Повідомити про інцидент