Спостерігається розсилання шкідливих електронних листів

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять шкідливі вкладення типу rtf (IMPORTANT.doc та SCAM ALART.doc), що експлуатують відому вразливість CVE-2017-8570 для завантаження екзепляру шкідливого програмного забезпечення типу Hawkeye. 

HawkEye - це набір шкідливих програм, який активно розвивається. Його можливо використовувати для моніторингу систем і видалення інформації з них. Містить інструменти для крадіжки (отримання) конфіденційної інформації з різних програм. Ця інформація може бути передана зловмиснику за допомогою протоколів, таких як FTP, HTTP і SMTP.

Зразок електронного повідомлення:

Детальний опис:

Вкладені rtf-документи ідентичні та містять OLE-об’єкти:
- клас OLE2Link;
- клас Package (є обфускованим сценарієм написаним мовою vbscript).

При відкритті документів відбувається виконання сценарію, що міститься в OLE-об’єкті (деобфускований сценарій нижче).

Внаслідок виконання сценарію відбувається завантаження із ресурсу www.starsshipindia.com виконуваного шкідливого файлу, який є екземпляром hawkeye, що закріплюється в системі, додається до автозапуску (сторює скрипти C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeviceEnroller.vbs) та намагається отримати доступ до даних користувача (інформація про профіль користувача та систему, даних автентифікації користувача, браузерів та поштових клієнтів, тощо). Зібрана інформація передається серверу mail.hakamfood.com по SMTP протоколу (IP: 199.79.62.11: 587).

Рівень загрози: CЕРЕДНІЙ

Поштовий лист  –>  rtf-файл  –> OLE-obj –> URL –> *.exe –> Exploiter&stealer&hawkey&keylogger

Механізм роботи:


Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

103.99.1.159

Main object - "***.doc"

     sha256      cd71d473de7a3cc1d4c1619cde17ad3272ed780f4b6bf8005c99b58f21d82af2
     sha1         5faf003f5e70208c3373ece62b0cdbb2e6062b81
     md5         117d4c036f2c0ae0f8c9824a5e7b5475

Dropped executable file

     sha256      C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H6QNMHE9\XCHANGECRYPTED[1].exe        83f03ee8393d1d28d60db9c5c4e655396e0e8f39c3fc32ae0a2002d22952cd57

     sha256      C:\Users\admin\AppData\Roaming\bridgeunattend\AccountsRt.exe        ca2d6825bd9b4b0a424c7665478ac957d478f945428b35e7ba41ecbd3d0c0102

Connections

     ip 66.171.248.178
     ip 199.79.62.11
     ip 107.6.169.82 завантаження екземпляру hawkeyeHTTP/HTTPS requests

     url     http://www.starsshipindia.com/XCHANGECRYPTED.exe