Чергова фішинг-атака на органи державної влади

Повторні фішинг-розсилки з #Smokeloader, запакованим в lzh архів.

Листи приходять на адреси державних органів влади. Текст листа українською мовою, що свідчить про цілеспрямоване розповсюдження в Україні. Для прикриття в архів вкладений xlsx-файл з деякою інформацією.

Як повідомлялося раніше, даний вірус являється завантажувачем і використовується різними зловмисниками для завантаження іншого шкідливого програмного забезпечення без Вашої згоди і відома.

Будьте обережні! Не відкривайте вкладення листів та не переходьте за невідомими посиланнями з електронного листа, який ви не очікували отримати.

Інформація про попередні хвилі розсилок:
https://cert.gov.ua/news/50

Рекомендації:

  • Не відкривайте прикріплені файли в листах, яких Ви не очікували отримати.
  • Перевіряйте відправника повідомлення.
  • Блокуйте WSH або трафік cscript/wscript.
  • Фільтруйте нестандартні архіви та скриптові файли.
  • Блокуйте на Proxy нетипові User Agent.
  • Виконуйте основні правила кібергігієни .

Rate VirusTotal:3/57

Індикатори компрометації (IOC):
https://pastebin.com/xkVZtczH (Оновлюється)

—————–29.01.2019—————–
File: К оплате за январь Агро.lzh
File size: 114 KB (116 666 bytes)
MD5 checksum: 62CD291C9F341A74C84168DDE992083D
SHA256 checksum: 1EF967444D626187BD3762E3B12D11F26A1B61C163691D6F809F3888972575CD

File: Рахунок №6-19 от 29.01.2019р.xls.js
File size: 98,6 KB (100 984 bytes)
MD5 checksum: 15B9269D61F3E21A6990969F54A158D5
SHA256 checksum: 1D59FF685A1EB844C2487AC489E719FB2D23A3D2D82207578A10E1E308F92DD4

Received: from [91.234.2.202] (helo=91.234.2.202.hata.net.ua)
by s4.uman.net.ua with esmtpa (Exim 4.82)
(envelope-from <sekretar2@svit-mebliv.ua>)

—————–30.01.2019—————–

File: договір та р.фактура від 30.01.19.lzh
File size: 102 KB (104 344 bytes)
MD5 checksum: B2B67EE7938D096A10B3D45DBA1DAC23
SHA256 checksum: 4509F9FA30D96DF3729112FECCDC4467FE176D97E3BDE43DA80976F68BC64667

File: Pax. 19-208 – 30.01.2019p..js
File size: 76,6 KB (78 478 bytes)
MD5 checksum: DF297E3A2635842DDBCB49B541956AA6
SHA256 checksum: 593E1D16C62029551058E377BDD82AC351D31C12EE5FB20C3BD83ABCA8A62181

File: unit.exe
File size: 471 KB (482 304 bytes)
MD5 checksum: A31EE1B959D804A560738AED872B6068
SHA256 checksum: 719BA15ABF04F7B449620C2D0F7917B32B69745FAD348327BE0DF519CB76ED79

Received: from out14.mi6.kiev.ua ([91.198.36.68])
by prestol.it-mark.net with esmtps (Exim 4.90_1)
(envelope-from <abed@i.ua>)
hххp://ceronamtinclube.icu/opuba/unit.exe [ 62.173.138.170]

C&C:
hххp://www.msftncsi.com/ncsi.txt
hххp://aviatorssm.bit/

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017