IOC_emotet_011018

01/10/18 проходила розсилка троянського шкідливого коду типу #Emotet
Даний тип ШПЗ застосовується для крадіжки облікових даних систем ДБО.
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

5 різних джерел, усі поки що активні:

h11p: \gidamikrobiyoloji{.} com/IBfAlRX
h11p: \madisonda{.} com/BacOqsvFqz
h11p: \motiondev{.} com{.} br/1cTvBSu2P
h11p: \fluorescent{.} cc/KxcY1d6R
h11p: \kristianmarlow{.} com/Sy5IRFsRU9

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
185.179.26.24 gidamikrobiyoloji{.} com GET /IBfAlRX/ HTTP/1.1 no User Agent
190.2.50.193 190.2.50.193:443 GET / HTTP/1.1 Mozilla/4.0 (compatible;
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/Y6DnbpHv992

Блокуйте запуск макросів, завантаження запускних файлів в явному вигляді, та забороняйте на Proxy застарілі, нетипові User Agent.

Будьте уважні та обережні.

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: