• Roman Sologub

Зловмисники використали вразливість CVE-2017-0199

У поштовому повідомленні OriginalMessage.txt.msg у вкладенні міститься шкідливий файл Prezent_UA_2k_berezen_PRESS.ppsx, який є презентацією з 16 слайдів про соціально-політичну ситуацію в Україні.


Приклад слайду з файлу Prezent_UA_2k_berezen_PRESS.ppsx

Шкідливий файл цікавий тим, що не містить вбудованих шкідливих макросів. Замість цього, зловмисники використовували вразливість CVE-2017-0199, яка дозволяє згенерувати шкідливий PPSX файл і доставити жертві payload без будь-якої складної конфігурації. При експлуатуванні використовується файл slide1.xml.rels. Файли з розширенням .rels є файлами відносин. Ці файли містять інформацію про те, як частини різних документів Microsoft Office поєднуються один з одним. Ця інформація також називається частинами відносин. У випадку з даною шкідливою ​​презентацією в файл slide1.xml.rels була записана адреса: hxxp: //socis.cf/? File = wj5yuxmp.hmf:


Вміст файлу slide1.xml.rels

За адресою hxxp: //socis.cf/? File = wj5yuxmp.hmf міститься скрипт, який створює шкідливий файл в директорії % temp% і запускає його. На момент аналізу, адреса вже недоступна.


Індикатори компрометації

URLs:

hxxp: //socis.cf/? file = wj5yuxmp.hmf


IP адреси:

185.176.43.94 (Болгарія)


файли:

Prezent_UA_2k_berezen_PRESS.ppsx

MD5: CAFB6B5795C26376289832CFFC3AEE94

Просмотров: 0
arrow&v

Washington DC

1300 I Street NW

Suite 400E, Washington

District of Columbia, 20005

+1 202 749 8432

Kyiv

 

10/14 Radyscheva St., Kyiv

Ukraine, 03124

+380 44 594 8018

Tbilisi

 

33b Ilia Chavchavadze ave, 0179, Tbilisi, 

Georgia
+995 32 224 0366

Wrocław

 

1 Grabarska st., 50-079  Wrocław,

Poland

+48 71 747 8705

Almaty

808V, 165B Shevchenko St, 050009, Almaty,

Kazakhstan

+7 727 341 0024

k z @ i s s p . c o m

Vancouver

Suite 2600, Three Bentall Centre 
595 Burrard St., PO Box 49314 
Vancouver BC V7X 1L3 Canada
+1 289 968 4454

i n f o @ i s s p . c o m

Copyright © 2020 ISSP. All rights reserved.