Фейкове розсилання від імені "НАЗК"

Повідомляємо, що 13.03.2019 року відбувалось розсилання шкідливих електронних листів від імені
Національного агентства з питань запобігання корупції, що містять шкідливий документ типу msword (*.doc) із VBA-макросами.
Подібні листи легко обминають системи захисту організації.
На момент розсилання за даними VT жоден AV-сканер не детектував зловмисний файл "anketa (X).doc", де X – випадкове натуральне значення.
Також слід зазначити, що розмір файлів "anketa (X).doc" відрізнявся і в середньому становив 100 кБ +/-20%

Рівень загрози: СЕРЕДНІЙ

Зразки електронних повідомлень:

Детальний опис:

Вкладені шкідливі документи MS Office Word містять наступні макроси

Фрагмент коду ThisDocument.cls

Фрагмент обфускованого коду Module1.bas

При відкритті документу anketa(X).doc відбувається виконання коду VBA-макросів в результаті чого за допомогою powershell
відбувається завантаження (через https) та виконання допоміжних шкідливих файлів без збереження у файлову систему та з ігноруванням валідності ssl-сертифікату:
GET hxxps://104.193.252.175/kzlrths.png

Фрагмент коду у файлі kzlrths.png

в результаті виконання відбувається завантаження та запуск наступного файлу без збереження у файлову систему та з ігноруванням валідності ssl-сертифікату:
GET hxxps://104.193.252.175/lkvbejtpf.jpg

Фрагмент коду у файлі  lkvbejtpf.jpg

В процессі виконання останнього файлу в пам'яті закріплюється шкідливий powershell-скрипт, розпаковується шкідлива dll та
починаються запити на завантаження основного шкідливого виконуваного файлу,
але на момент аналізу завантаження не відбувалося (можливо – підготовчий етап або помилка у коді).

Паралельно з цим відбувається виконання ряду системних утілит для збору інформації про систему, мережу, користувачів, але
передача цієї інформації на С2-сервери не відбувається ймовірніше за все із-за того, що це повинен виконувати основний файл, що не завантажується.

Виходячи із результатів аналізу можливо зробити висновок, що файл "anketa (X).doc" є завантажувачем шкідливого ПЗ,
що збирає інформацію про систему та мережеве оточення з подальшою передачею на зловмисні сервери.

Поштовий лист –> DOC-файл -> VBA-macros -> powershell -> GET URL –> ***.exe –> Exploiter&Evader&Trojan

 

Механізм роботи:

Індикатори кіберзагроз

Листи надсилаються з наступних адрес:

118.23.92.75
103.241.128.227
175.177.155.110
180.37.248.32
210.134.90.7
202.253.106.73
202.172.28.19
210.134.90.100
210.134.90.11
210.134.90.99
183.90.183.11
210.134.90.67
61.112.21.155
1.33.179.112
202.214.233.15
180.222.187.113

Mail from address:

matsui@orion05.co.jp
katsukawa@lonner-net.co.jp
jshimizu@syoko-940.com
sima@fds-friendly.jp
maejima-shoukai@rio.odn.ne.jp
m.tatusima@po.hitwave.or.jp
ura@acegroup.jp
maruichi@zap.att.ne.jp
kiriya@daitetsu-kensetsu.com
kenmochi@asahitelecom.co.jp
m-asami@maru-japan.com
cycling-yahho@gem.e-catv.ne.jp
arakaki@fds-friendly.jp
r-kondoh@kokune.co.jp

Mail subject: "Шановний колего!"

Main object- "anketa (X).doc"
sha256 0504b6277d7148d49639aaa11c021f0209ad9b069a416c7a16b51046164470b0
sha1 d857f838eb92ba6cc7d084f76982dbbf1c7d891e
md5 fb0739c48ce3b3129820a73b023f3a9c

Connections
ip 104.193.252.175

HTTP/HTTPS requests
GET hxxps://104.193.252.175/kzlrths.png
GET hxxps://104.193.252.175/lkvbejtpf.jpg

Рекомендації:
1. Заборона автоматичного виконання макросів додатків MS Office.
2. Заборона викликів/передачі команд на powershell від додатків MS Office.
3. Посилена фільтрація файлів MS Office із макросами на поштових шлюзах безпеки та потокових sandbox.