load.exe

оновлено! посилання досі активні!

Доброго дня, панове.

28го серпня було зафіксовано спробу розповсюдження шкідливого коду з сайту держ. архіву Київської області. (h11p://dako.gov.ua/)

Маркери по цій атаці були надані по закритій розсилці. Сама організація була сповіщена і шкідливий код з сайту оперативно прибрали.

Проте на цьому історія не закінчилась – за останню добу була зафіксована повторна спроба розповсюдження шкідливого коду. (файл уже знов прибрали)

У зв’язку з вищезазначеним рекомендую перевірити журнали мережевого обладнання на предмет наступних маркерів:

Мережеві IOC:

h11p://dako.gov.ua\files\text\load.exe    62.244.56.8 GET /files/text/load.exe HTTP/1.1 
запасні посилання, що пов'язані з цією атакою:
h11p://porohforeveyoung.ru\texting\load.exe   49.51.38.216 GET /texting/load.exe HTTP/1.1
h11p://livedeathinternetforeve.ru\tonnel\load.exe   49.51.38.216 GET /tonnel/load.exe HTTP/1.1

Схема атаки:

 email > attach (7z) > JS > HTTP GET > %desktop%\*.exe

Приклад фішингового листа за сьогодні:

Приклад фішингового листа за 28:

Зразок який розповсюджувався 28го (SageCrypt)

File name load.exe
File size 195.5 KB
SHA-256 bdec28fe61f7c5343f0c1bca8ec59ed7edc0e8ba75ead57ee670592d74116f46

Зразок який було опубліковано за останню добу (знову замінили на SageCrypt)

File name load.exe
File size 168.5 KB
SHA-256 fe0decf8b7b5dd438db35fe5fbef876d7da17454a0c49488d5e8c0c589f5ccd0

Результат активації скрипта-приманки:

Оскільки за першою адресою файл видалений, іде завантаження по другому посиланню:

h11p://porohforeveyoung.ru\texting\load.exe   49.51.38.216 GET /texting/load.exe HTTP/1.1

За посиланням станом на 16:30, 31/08/17 за цим шляхом завантажується зразок pscrypt

У зв’язку з цією ситуацією хотілося іще раз нагадати, що зловмисникам дуже зручно користуватися недостатнім рівнем захищеності сайтів українських державних (та й комерційних) установ.

Це не перший і, на жаль, не останній випадок, тому фахівцям ІТ/ІБ важливо приділяти увагу параметрам фільтрації мережевих запитів – цілком легітимні джерела можуть бути скомпрометовані.

Заради безпеки організацій несанкціоновані спроби завантаження запускного коду повинні заборонятися, а самі приманки (скрипти/посилання/макроси) – блокуватися на рівні кінцевих точок.

Так само варто позачергово змінити облікові записи від web сервісів і провести їх перевірку на вразливості, щоб сайт компанії не став джерелом розповсюдження.

Будьте уважні та обережні!

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: