Розсилання шкідливих електронних листів CVE-2017-11882

Відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xlsx

Детальний опис:

У вкладенні листів знаходяться документи Request for Quotation.xlsx, Product Specication.xlsx, що містить ole-об’єкти.

Вказані документи містять ole-об’єкт oleObject1.bin за допомогою якого, використовуючи вразливість редактора формул CVE-2017-11882, передається на виконання обфускований сценарій для завантаження шкідливого виконуваного файлу з сервера 208.115.234.234 yogeshcycles.com.

Шкіливий файл зберігається в системі як C:\Users\user\AppData\Roaming\name.exe, є екземпляром шкідливого ПЗ AZORult Info Stealer який багаторазово перезапускається, збирає інформацію про систему та користувача (дані з веб-браузерів, поштових, ftp, Putty/WinSCP клієнтів, криптогаманців) та завантажує додаткові бібліотеки. Далі зібрана інформація передається на сервер ІР 82.165.18.207 port 80.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.xlsx –>  ole-object –>  EQNEDT32.exe  –>  *.exe  –> AZORult Info Stealer

Механізм роботи:

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

     43.241.36.36
     43.240.67.52

Main object - "Request for Quotation.xlsx"

     sha256 2b8cb6f15f6f9eb12a021e97acd570a70a15fb622b820f02699040387c322c51
     sha1 f8d38aabeb7fcd9bcceaffa3e22012efb63cc2f7
     md5 297fe075fc00f1cb059a95a90f2cf0aa

Main object - "Product Specication.xlsx"

     sha256 792aa6038bb4b3ee7cd5136a99fa3b7a9a59e8e847662b1ab8845fa2f06adf19
     sha1 a51191a77e7cee4d93f400fd4568b402fbe52c8d
     md5 8bc2a4d52f5973bb01f088d26c8879e3

Dropped executable file

      sha256      hххp://yogeshcycles.com/de.exe f5c572bf89a40067ffffa71d96fb7709ab629da627d802f220265ba3e302794c

DNS requests

      domain      yogeshcycles.com

HTTP/HTTPS requests

      hххp://82.165.18.207/index.php

Connections

     ip     208.115.234.234      завантаження AZORult Info Stealer
     ip     82.165.18.207          C2