IOC_Emotet_091118

09/11/18 проходила розсилка троянського шкідливого коду типу #Emotet
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

  • Сильна обфускація команд.

5 різних джерел, три із них поки що активні:

h11p\мягкое-стекло{.} рф/OYRECjhJU  404
h11p\sastudio{.} co/GgGV3mOVlN           200
h11p\priscawrites{.} com/tS6M2ffhC       200
h11p\gbsbrows{.} com/JZLqJd4                200
h11p\evelin{.} ru/fgARtN6g                       404

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
132.148.254.223 gbsbrows{.} com GET /JZLqJd4 HTTP/1.1 no User Agent
187.163.174.149 187.163.174.149:8080 GET / HTTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/THHMs2wg

Додаткові маркери по іншим розсилкам:

https://pastebin.com/KVNyw9Uq

https://pastebin.com/L2nSzNU4

Контрзаходи:

  • Заборонити виклик/передачу команд на cmd та powershell від додатків MS Office
  • Блокувати на proxy запити з пустим або нетиповим полем User Agent
  • Заборонити на proxy завантаження додатків
  • Контролювати створення/запуск .exe у профілях користувачів

Будьте уважні та обережні.

VR

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: