Розсилання шкідливих електронних листів з екземпляром hawkeye

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .doc

Зразки електронних повідомлень:

Детальний опис:

Шкідливий документ містить OLE-об’єкти, що відносяться до класу eQuation.3 (Equation Editor 3.0) один із яких є екземпляром hawkeye:

Після відкриття документу відбувається запуск інструменту командного рядка і виконання команди

cmd.exe  "C:\Users\admin\AppData\Local\Temp\ufFm.cMD"

що запускає на виконання шкідливий файл ufFm.cMD (hawkeye), який намагається отримати доступ до критичної інформації користувача (даних про користувача та систему, даних автентифікації користувача тощо) та здійснює комунікацію із C&C сервером smtp.luanthai.com по SMTP протоколу (IP: 208.91.199.224: 587)

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  .doc-файл  –> EQNEDT32.EXE –> OLE-obj –>  exe( hawkeye ) –> Evader&Exploiter

Індикатори кіберзагроз:
Розсилання листів з адреси
209.61.195.91
Main object - "Statement FAP_20190118.doc"
sha256        faa21f5e92207ff87fdd3ee56dd665f21fd078a238b202ada8737d55b0826860
sha1          751d760344900efd71ce41334c749861718a67bc             
md5          904dbf1dfe3512643fd1af88392534ed   
Dropped executable file
sha256 C:\Users\admin\AppData\Local\Temp\saver.scr        bd5580c31bd560b2d2f088f43a949623f2eebcf70950ba7e6a4f5e9de862ccb9
DNS requests:      
domain whatismyipaddress.com
domain smtp.luanthai.com   C&C

Connections
ip 104.16.155.36
ip 208.91.199.224 C&C

HTTP/HTTPS requests
url     hxxp://whatismyipaddress[.]com/