Розсилка шкідливого програмного забезпечення AZORult

CERT-UA було повідомлено про розсилку шкідливого програмного забезпечення AZORult. AZORult – викрадач паролів, має функціонал для збору збережених паролів в браузерах, поштових клієнтах (Outlook, Thunderbird), FTP клієнтах (Filezilla, WinSCP), інформацію про криптогаманці. Також, може збирати інформацію про файлову систему, запущені процеси, викрадати листування месенджерів та надає хакерам можливість завантаження та віддаленого запуску файлів в системах жертв.

Індикатори компрометації (ІОС):

Шкідливі файли:

Шкідливі домени та ІР (С2):

67.199.248.10

67.199.248.11

192.198.87.130

185.193.38.78

 

Автозапуск:

 

Вразливості:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11882

 

Корисні посилання:

https://pastebin.com/MwwZ7DyY

https://www.hybrid-analysis.com/sample/3cf7272c35aad460bd3c162e4e1499c383ac06dec02ef36e506eb50d9e84116f?environmentId=100

 

Рекомендації CERT-UA:

– рекомендуємо адміністраторам слідкувати за спробами підключення  до зазначених C2 IP-адрес, для виявлення потенційно заражених систем.

– не відкривайте вкладення у підозрілих повідомленнях та файлів з виконуваними форматами ;

– адміністраторам поштових серверів, зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;

– перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;

– обмежіть можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

– регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;

– періодично робіть повну перевірку “чутливих” комп’ютерів на предмет наявності шкідливого програмного забезпечення;

– регулярно оновлюйте програмне забезпечення.