Archive | 31/08/2017

load.exe

оновлено! посилання досі активні!

Доброго дня, панове.

28го серпня було зафіксовано спробу розповсюдження шкідливого коду з сайту держ. архіву Київської області. (h11p://dako.gov.ua/)

Маркери по цій атаці були надані по закритій розсилці. Сама організація була сповіщена і шкідливий код з сайту оперативно прибрали.

Проте на цьому історія не закінчилась – за останню добу була зафіксована повторна спроба розповсюдження шкідливого коду. (файл уже знов прибрали)

У зв’язку з вищезазначеним рекомендую перевірити журнали мережевого обладнання на предмет наступних маркерів:

Мережеві IOC:

h11p://dako.gov.ua\files\text\load.exe    62.244.56.8 GET /files/text/load.exe HTTP/1.1 
запасні посилання, що пов'язані з цією атакою:
h11p://porohforeveyoung.ru\texting\load.exe   49.51.38.216 GET /texting/load.exe HTTP/1.1
h11p://livedeathinternetforeve.ru\tonnel\load.exe   49.51.38.216 GET /tonnel/load.exe HTTP/1.1

Схема атаки:

 email > attach (7z) > JS > HTTP GET > %desktop%\*.exe

Приклад фішингового листа за сьогодні:

Приклад фішингового листа за 28:

Зразок який розповсюджувався 28го (SageCrypt)

File name load.exe
File size 195.5 KB
SHA-256 bdec28fe61f7c5343f0c1bca8ec59ed7edc0e8ba75ead57ee670592d74116f46

Зразок який було опубліковано за останню добу (знову замінили на SageCrypt)

File name load.exe
File size 168.5 KB
SHA-256 fe0decf8b7b5dd438db35fe5fbef876d7da17454a0c49488d5e8c0c589f5ccd0

Результат активації скрипта-приманки:

Оскільки за першою адресою файл видалений, іде завантаження по другому посиланню:

h11p://porohforeveyoung.ru\texting\load.exe   49.51.38.216 GET /texting/load.exe HTTP/1.1

За посиланням станом на 16:30, 31/08/17 за цим шляхом завантажується зразок pscrypt

У зв’язку з цією ситуацією хотілося іще раз нагадати, що зловмисникам дуже зручно користуватися недостатнім рівнем захищеності сайтів українських державних (та й комерційних) установ.

Це не перший і, на жаль, не останній випадок, тому фахівцям ІТ/ІБ важливо приділяти увагу параметрам фільтрації мережевих запитів – цілком легітимні джерела можуть бути скомпрометовані.

Заради безпеки організацій несанкціоновані спроби завантаження запускного коду повинні заборонятися, а самі приманки (скрипти/посилання/макроси) – блокуватися на рівні кінцевих точок.

Так само варто позачергово змінити облікові записи від web сервісів і провести їх перевірку на вразливості, щоб сайт компанії не став джерелом розповсюдження.

Будьте уважні та обережні!

VR
Advertisements