• Roman Sologub

Зловмисники використали вразливість CVE-2017-0199

У поштовому повідомленні OriginalMessage.txt.msg у вкладенні міститься шкідливий файл Prezent_UA_2k_berezen_PRESS.ppsx, який є презентацією з 16 слайдів про соціально-політичну ситуацію в Україні.


Приклад слайду з файлу Prezent_UA_2k_berezen_PRESS.ppsx

Шкідливий файл цікавий тим, що не містить вбудованих шкідливих макросів. Замість цього, зловмисники використовували вразливість CVE-2017-0199, яка дозволяє згенерувати шкідливий PPSX файл і доставити жертві payload без будь-якої складної конфігурації. При експлуатуванні використовується файл slide1.xml.rels. Файли з розширенням .rels є файлами відносин. Ці файли містять інформацію про те, як частини різних документів Microsoft Office поєднуються один з одним. Ця інформація також називається частинами відносин. У випадку з даною шкідливою ​​презентацією в файл slide1.xml.rels була записана адреса: hxxp: //socis.cf/? File = wj5yuxmp.hmf:


Вміст файлу slide1.xml.rels

За адресою hxxp: //socis.cf/? File = wj5yuxmp.hmf міститься скрипт, який створює шкідливий файл в директорії % temp% і запускає його. На момент аналізу, адреса вже недоступна.


Індикатори компрометації

URLs:

hxxp: //socis.cf/? file = wj5yuxmp.hmf


IP адреси:

185.176.43.94 (Болгарія)


файли:

Prezent_UA_2k_berezen_PRESS.ppsx

MD5: CAFB6B5795C26376289832CFFC3AEE94

0 views
arrow&v

ვაშინგტონი
1300 I Street NW
400E, ვაშინგტონი
კოლუმბიის რაიონი,
20005
+1 202 749 8432

კიევი
10/14 რედისჩევის ქ., კიევი
უკრაინა,
03124
+380 44 594 8018

თბილისი
33 ბ, ილია ჭავჭავაძის გამზირი, 0179, თბილისი,
საქართველო

+995 32 224 0366

ვროცლავი
გრაბარსკის ქ.
1, 50-079 ვროცლავი,
პოლონეთი

+48 71 747 8705

ალმაატი
808V, შევჩენკოს ქ. 165B, 050009 ალმაატი,
ყაზახეთი

+7 727 341 0024

ვანკუვერი

Suite 2600, Three Bentall Center
ბურარდის ქუჩა 595, საფოსტო ყუთი 49314

ვანკუვერი BC V7X 1L3 კანადა

+1 289 968 4454

i n f o @ i s s p . c o m

© 2020 by ISSP - Information Systems Security Partners