Az esetről először egy biztonsági cég (ISSP) majd az ukrán kormányzati CERT (CERT-UA) közölt információkat (lásd: [1] és [2]) 2017. augusztus 22-én.
Eszerint egy vírus terjesztési kampányt detektáltak, amelynek részeként a támadók – többek között – egy ukrán könyvviteli szoftver felhasználásával próbáltak káros kódot telepíteni a célrendszereken. Ebből a szempontból az eset hasonlóságokat mutat a júniusi ’NotPetya’ kampánnyal.
A jelenlegi ismeretek szerint a támadók hozzáfértek a Crystal Finance Millennium cég weboldalához, ahol fertőzött fájlokat helyeztek el, amit vélhetően az ’AWstats’ nevű, nyílt forráskódú honlap látogatottság elemző alkalmazás hibájának kihasználásával tudtak megtenni. Emellett több más webhely is szerepet játszott a malware célbajuttatásában.
Ezzel párhuzamosan zajlott egy kéretlen levél kampány is, a levelek csatolmányában fertőzött .arj, .zip és .7zip tömörített állományokkal. Ezek egy JavaScript (.js kiterjesztésű) fájlt tartalmaztak, amely futáskor egy hátsó kaput nyit a rendszeren és további káros összetevőket tölt le. A CERT-UA elemzése szerint a fertőzési lánc végén a ‘Zeus’ malware család új variánsa (Chthonic) kerül a fertőzött rendszerre, egy amerikai biztonsági kutató szerint azonban egy időben más malware-ek terjesztése is zajlik (Purgen, PSCrypt – mindkettő zsarolóvírus) (lásd [3] és [4]).
Az NKI folyamatosan figyelemmel kíséri az elérhető információkat és frissíti a közleményt.
Egy esetleges fertőzés elkerülése érdekében az alábbiakat elvégzése javasolt:
- Tartsa naprakészen a rendszerét és a védelmi szoftvereit.
- Tiltsa le a makrókat a Microsoft Office-ban.
- Ha lehetséges, tiltsa az RDP kapcsolatokat.
- Készítsen rendszeresen offline biztonsági mentést.
- Ne nyisson meg ismeretlen forrásból származó e-mailt.
- Ütemezzen rendszeres vírusellenőrzést.
- Blokkola a .js kiterjesztésű állományok futtatását.
- Törölje a böngészési előzményekből a .js kiterjesztésű állományokat
- Tiltsa az ‘Indikátorok’ alatt jelzett domain-ek és IP-címek mindegyikét.
Technikai információk
A fertőzésre utaló hálózati indikátorok:
- 47.88.52.220
- 194.28.172.73
- 176.114.0.20
- hXXp://cfm.com.ua/awstats/load.exe
- hXXp://nolovenolivethiiswarinworld.com/ico/load.exe
- hXXp://crystalmind.ru/versionmaster/nova/load.exe
- hXXp://marianyindianshop.ru/ico/load.exe
- contsernmayakinternacional.ru
- soyuzinformaciiimexanikiops.com
- kantslerinborisinafrolova.ru
Az e-mail kampányban szereplő egyes fertőző tömörített állományok elemzése:
- https://virustotal.com/#/file/ae694861beaf93e8f79ed4ccdc0a67b49ef78fb246cf2d015eef5a9afb588fd0/detection
- https://virustotal.com/#/file/d7aa453b1ad09fcb5c8032c59a2b32241c1fdbcfa5c7e8835dc9f17a101ac664/detection
Minta a fertőző JS fáljlokra:
- Bf516673f341c43adbdcd79938d229e8 pax_321.js
- 091f82ed4427eed7f009da2cb313e6c9 Account.js
- 247ffdd07a7cc0008c7d4574249b8a02 Help.pdf #goodware
- 38336c0b8938632458e933f20fc29169 requisites.doc #goodware
A bootloader, ami a Zeus variáns letöltését kezdeményezi:
Hivatkozások:
[1]https://issp.ua/issp_system_images/Crystal_Finance_Millennium_CyberAttack_EN.pdf
[2]http://cert.gov.ua/?p=2875
[3]https://www.bleepingcomputer.com/news/security/ukraine-fears-second-ransomware-outbreak-as-another-accounting-firm-got-hacked/?utm_content=buffer4d6c6&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
[4]https://bartblaze.blogspot.hu/2017/08/crystal-finance-millennium-used-to.html