Розсилання шкідливих електронних листів CVE-2017-11882
Відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xlsx
Детальний опис:
У вкладенні листів знаходяться документи Request for Quotation.xlsx, Product Specication.xlsx, що містить ole-об’єкти.
Вказані документи містять ole-об’єкт oleObject1.bin за допомогою якого, використовуючи вразливість редактора формул CVE-2017-11882, передається на виконання обфускований сценарій для завантаження шкідливого виконуваного файлу з сервера 208.115.234.234 yogeshcycles.com.
Шкіливий файл зберігається в системі як C:\Users\user\AppData\Roaming\name.exe, є екземпляром шкідливого ПЗ AZORult Info Stealer який багаторазово перезапускається, збирає інформацію про систему та користувача (дані з веб-браузерів, поштових, ftp, Putty/WinSCP клієнтів, криптогаманців) та завантажує додаткові бібліотеки. Далі зібрана інформація передається на сервер ІР 82.165.18.207 port 80.
Рівень загрози: СЕРЕДНІЙ
Поштовий лист –> *.xlsx –> ole-object –> EQNEDT32.exe –> *.exe –> AZORult Info Stealer
Механізм роботи:
Індикатори кіберзагроз:
IP адреса з якої проводиться розсилання
43.241.36.36
43.240.67.52
Main object - "Request for Quotation.xlsx"
sha256 2b8cb6f15f6f9eb12a021e97acd570a70a15fb622b820f02699040387c322c51
sha1 f8d38aabeb7fcd9bcceaffa3e22012efb63cc2f7
md5 297fe075fc00f1cb059a95a90f2cf0aa
Main object - "Product Specication.xlsx"
sha256 792aa6038bb4b3ee7cd5136a99fa3b7a9a59e8e847662b1ab8845fa2f06adf19
sha1 a51191a77e7cee4d93f400fd4568b402fbe52c8d
md5 8bc2a4d52f5973bb01f088d26c8879e3
Dropped executable file
sha256 hххp://yogeshcycles.com/de.exe f5c572bf89a40067ffffa71d96fb7709ab629da627d802f220265ba3e302794c
DNS requests
domain yogeshcycles.com
HTTP/HTTPS requests
hххp://82.165.18.207/index.php
Connections
ip 208.115.234.234 завантаження AZORult Info Stealer
ip 82.165.18.207 C2