#CVE-2017-11882

Фейковий лист від імені DHL Express з вмістом шкідливої програми

IoC

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .rtf (Rich Text Format - розширений текстовий формат). Даний лист замаскований під офіційну розсилку DHL Express. Вкладений документ експлуатує відому вразливість та завантажує зразок шкідливого програмного забезпечення типу #FormBook.

Розсилання шкідливих електронних листів з вкладеним RTF документом

IoC

Команда реагування на кіберінциденти в банківській системі України повідомляє про розсилання шкідливих електронних листів, з вмістом rtf-документу (rich text format), який містить вкладений OLE об'єкт.

Розповсюдження шкідливих електронних листів

IoC

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xslx. В результаті чого документ експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого файлу

Масове розсилання шкідливих електронних листів

IoC

Зафіксовано масове розсилання електронних листів, що містять шкідливий документ, який експлуатує відому вразливість CVE-2017-11882 для завантаження екзепляру шкідливого програмного забезпечення типу AZORult. Azorult - троян-викрадач, здатний на зараженому комп'ютері збирати і відправляти на С2-сервер різні дані: історію браузера, збережені логіни і паролі, файли cookie, файли криптогаманців тощо.

Відбувається розсилання шкідливих електронних листів

IoC

Вкладені шкідливі документи ідентичні та експлуатують вразливість CVE-2017-11882 для створення та виконання екземпляру шкідливого файлу LokiBot, файли які містять OLE-об’єкт, що відноситься до класу eQuation.3 (Equation Editor 3.0). Завантажений шкідливий файл перезапускається C:\Users\admin\AppData\Roaming\obhn\yzosn.exe, прописується до автозапуску шляхом створення відповідного сценарію C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obhn.vbs та намагається отримати доступ до критичної інформації користувача

Чергова кампанія розсилання шкідливих електронних листів

IoC

Зафіксовано розсилання шкідливих електронних листів, що містять шкідливе вкладення типу .doc, яке експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого програмного забезпечення класу Formbook. Особливістю є використання багатоетапного завантаження з використанням публічного сервісу зберігання текстових даних pastebin.com

Спостерігається масове розсилання шкідливих електронних листів

IoC

Відбулося розсилання шкідливих електронних листів, що містять вкладення типу .doc яке експлуатує вразливість CVE-2017-11882. Файли здійснюються спроби збору та викрадення збережених паролів в браузерах, ftp, поштових клієнтах.

Спостерігається розсилання шкідливих електронних листів

IoC

Зловмисники масово надсилають електронні листи, що імітують листи від існуючих організацій, надсилаючи рахунки-фактури та підтвердження замовлень, в якому передається шкідливий файл Excel або Word, що експлуатує популярну вразливість CVE-2017-11882

Спостерігається масове розсилання шкідливих електронних листів

IoC

Повідомляємо, що відбулося розсилання шкідливих електронних листів, що містять вкладення типу .xlsx за допомого експлуатації вразливості редактора формул CVE-2017-11882, використовуючи вкладений ole-об’єкт

Розсилання електронних листів з вкладеним завантажувачем LokiBot

IoC

Розсилання шкідливих електронних листів #LokiBot #CVE-2017-11882. Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .doc

Зловмисне програмне забезпечення Netwire RAT

IoC

Розсилання зловмисного програмного забезпечення, яке використовується для дистанційного керування зараженим ПК. Може здійснити більше 100 шкідливих дій на заражених ПК, записувати інформацію введену з клавіатури та поведінку миші, робити знімки екрана, перевіряти інформацію про систему та створювати підроблені проксі-сервери.

Розсилання шкідливих електронних листів CVE-2017-11882

IoC

Відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xlsx, у вкладенні листів знаходяться документи Request for Quotation.xlsx, Product Specication.xlsx, що містить ole-об’єкти.

Шкідливе програмне забезпечення #MassLogger

IoC

Розсилання шкідливих електронних листів з вкладення типу .xlsx за допомогою якої відбувається експлуатація вразливості CVE-2017-11882 для завантаження шкідливого посилання.