Розсилання електронних листів з вкладеним завантажувачем LokiBot

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .doc

Зразки електронних повідомлень:

My alt text

Детальний опис:

Шкідливий документ експлуатує вразливість CVE-2017-11882 для створення та виконання екземпляру шкідливого файлу LokiBot.

Файл RequestMESPARESORDER.doc містить декілька OLE-об’єктів, що відносяться до класу eQuation.3 (Equation Editor 3.0):

My alt text

Після відкриття документу шляхом експлуатації вказаної вразливості (OLE-об’єкт OLE2Link)

відбувається запуск інструменту командного рядка і виконання команди

cmd.exe  "C:\Users\admin\AppData\Local\Temp\A.R"

що запускає на виконання шкідливий файл A.R.exe (LokiBot), який намагається отримати доступ до критичної інформації користувача (даних про користувача та систему, даних автентифікації користувача тощо) та здійснює комунікацію із C&C сервером (IP: 185.62.103.150: 80).

Рівень загрози: СЕРЕДНІЙ 

Поштовий лист  –>  .doc-файл  –> EQNEDT32.EXE –> exe-файл –>  exe(Loki Bot) –> Evader&Spyware

My alt text

Механізм роботи:

 My alt text

Індикатори кіберзагроз:

Розсилання листів з адреси
50.116.102.232

Main object - "RequestMESPARESORDER.doc"
sha256        6ecc5860ee04924fdef161607603e161b4872d33de3688ac6b925625e77630b1              
sha1          fc234a0b19d35bd85e420bd0f0be75728629a888             
md5          faea0cd8350201ffac1dd2493affa4d6

Dropped executable file       
sha256      C:\Users\admin\AppData\Local\Temp\A.R        51030772223a7394a16c0a9bbc39220af5fbd4367ce0ef5a775888f6640397e5

DNS requests       
domain      plikerss.hk C&C

Connections       
ip      185.62.103.150  C&C      

HTTP/HTTPS requests       
url     hxxp://plikerss.hk/tins/memz2/fre[.]php