CERT-UA спільно зі Службою зовнішньої розвідки України виявлено спроби поширення за допомогою електронного листа з прикріпленим файлом – документом з розширенням ‘.docx’, який приховано завантажує інший документ легальним чином, але вже з макросами, які в свою чергу вже завантажують payload.
За результатами аналізу встановлено, що при відкритті документу “xxx.docx” відбувається завантаження іншого файлу з адреси “hххp://185.203.118.198/documents/Note_template.dotm” та його запуск у інфікованій системі. Таким чином виникає можливість віддаленого проникнення в систему для різних цілей, одна з яких може бути виведення з ладу інфікованої системи.
У файлів Word передбачена можливість використання шаблонів, які знаходяться на віддаленому сервері, чим і скористалися зловмисники. Код завантаження шаблону з макросами “Note_template.dotm” з адреси 185.203.118.198 прописується в компоненті “…word/_rels/settings.xml.rels” документу “xxx.docx”. У відкритому доступі є скрипт для додавання таких “шаблонів” до будь-якого документу з розширенням ‘.docx’ ( phishery/badocx на GitHub). Деякі антивіруси все ж таки виявляють такі #baddocx, як DOC/TrojanDownloader.Agent.
При відкритті “xxx.docx” відкривається вікно з повідомленням:
А після декількох секунд повідомлення зникає та відкривається наступне, яке спонукає користувача включити виконання макросів:
В результаті виконання макросів із завантаженого шаблону в інфікованій системі змінюються реєстрові значення, включаючи Інтернет налаштування, значення конфігурації редактора MS Word, створюються додаткові файли та завантажується шкідливе програмне забезпечення.
За інформацією з відкритих джерел завантажений файл з адреси 185.203.118.198 ідентифікувався як вірус #Zebrocy (див. https://pastebin.com/sXcERsQd), метою якого є крадіжка інформації групою #Sednit відомою як #APT28 або #Sofacy, або #STRONTIUM.
Рекомендації CERT-UA:
– уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами;
– зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;
– перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;
– обмежіть можливість запуску виконуваних файлів (*.exe,*.js, *com, *.bs ) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
– регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;
– регулярно робіть резервні копії важливого програмного забезпечення та данних;
– періодично робіть повну перевірку “чутливих” комп’ютерів на предмет наявності шкідливого програмного забезпечення;
– регулярно оновлюйте програмне забезпечення в тому числі компоненти системи;
-виключити макроси, якщо не використовуєте їх;
-перевірити налаштування Microsoft Word для обмеження чи заборони мережевого трафіку і дозволити тільки оновлення;
– також, рекомендуємо адміністраторам слідкувати за спробами підключення до зазначеної адреси, для виявлення потенційно заражених систем;
–звернути увагу на налаштування політики користування USB носіїв для обмеження інфікування шляхом їх використання.
Автор публікації
