Riasztás Emotet malware kampánnyal összefüggésben

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki Emotet malware terjedésével kapcsolatban. Az NBSZ NKI tapasztalatai alapján a malware terjesztésére irányuló e-mail tevékenység az elmúlt időszakban ugrásszerűen megemelkedett. Az Emotet egy moduláris felépítésű trójai, amely 2014 óta van jelen. Elsősorban szenzitív adatok megszerzésére tesz kísérletet, mint például banki adatok, böngészőben mentett adatok, különböző azonosítók, emellett billentyűzetfigyelési funkcióval is rendelkezik, és zsarolóvírus telepítésre is alkalmas. Egyes változatai az áldozat postafiókjának felhasználásával terjesztik tovább a malware-t.

Az Emotet terjesztése jellemzően fertőzött MS Office dokumentumokkal történik, a jelenlegi kampányban a támadók elsősorban Excel állományokon keresztül kísérlik meg telepíteni a káros tartalmat. Az Emotet ezen variánsának egyik jellemzője, hogy terjesztése során korábban megszerzett e-mail üzenetek kerülnek felhasználásra, amelyre „válasz”-ként küldik a káros tartalmú e-mailt. A levelekben jelszóvédett ZIP állomány található, illetve a kibontáshoz szükséges jelszót is tartalmazza, amely az állomány futtatásához szükséges.

Fontos tudni, hogy a feladó – Intézetünk tapasztalatai alapján – minden esetben hamisított.

Az NBSZ NKI az eset kapcsán javasolja a kapcsolódó indikátorok tiltást a határvédelmi rendszeren.

 IoC-k:

  • SHA256: 26b2882818d7770891f8575fa07867db07e124178d0e09398a4f0b89c9373af9
  • SHA256: 4d5962ace9c2bd95791ea49700d42b81cc72b59185e37c92fee2b7c588415674
  • SHA256: b0442f61bd6e0abf13f7ed06e278e1cdf5340c17a9a0979c679fe30cb93830de
  • SHA256: 597d54d0f8fe09ca1e412e86f1ed9788ab9c67cca08411f2043e9ca2f941e584
  • SHA256: 1a6c1fef8c949dcf2c2e8f50529e3ef887dd864e6368a59947edcbcf50919f37
  • SHA256: ebc11c680c8960dfbebcaa20740172db6194133c0cf498f13405a9b365d4f140
  • SHA256: a1708a6558d4694df6c1895c7654cbddb4506dab74c86ef78fe940274acb2f4b
  • SHA256: d20e172af33add124675da7980d8b89277048356ec3aa617f9b5cf8d509c46f1
  • SHA256: fbcba24f92756db5f1bce80dbc40b9f8c5629d871f72f5bc5336ad5e644c10ef
  • SHA256: c76c145a73029f6b4e2c65038e662328308119b16c5e805aaa3bcddd863e19d4
  • SHA256: 12d9abba0bf4d1a072a518a6ff32294d56767b9ff7c1eb1f2071825cbd0c2d19
  • SHA256: 3ed857c10d33a53a252c09fa818eedecaeb598d0f644ac3d6ec2cff8b1f6f523
  • SHA256: ca800f4812c2558e8dfc323a1c88d012949c4603479fc6830cd41f7ef7d62924
  • SHA256: 0803c2c31d0a6832bce8ded87b15cda95b8c6ce4dc703f36958dfb9575c9f4af
  • SHA256: 3f95a725e08025663845bca57409dab94264d437998839bb4ad6fcdce8c56ed5
  • SHA256: 2e57fb4cc6836cc78ce9c3e0574f08e80e70c5f61b5db85db769d09dba8a0738
  • SHA256: a7f261c74ba04e91f8215d3c1857935a7e4898564169cab7cb64d77b6f43b627
  • SHA256: d2073c834d42b1debed020585d8376e326a4ab0dbb7ab121cf108197c90c1746
  • SHA256: ae0f819c7fd9de6f41b9663a2d45495ef9714914ea2915836173e5db102de7e5
  • SHA256: b2df036395587685c4f16ed516aaf5e55f54de0de7e443adac45bbf186830824
  • SHA256: 859af4fbf7fde72f4a6c2dbe23ba65aff9762b36383436615a6c2f85c2693268
  • SHA256: f9e265a7660e3d54b12c9ec9b7f9aff04e1217e705ae7c69809caf44170261b1
  • SHA256: efac2bbbedb0ce1d4170d184ca471897f57eb8fc3d92ec253c9dafb4aeddb2ae
  • SHA256: 2b8d3693b5919bc17bda4da2a38afecd326e353e6d88ea1d3d99c1746d163ad9
  • SHA256: 529d70448ed5cdc0e6bb89432214e880bd53f3fc2ea9117f5a9f9262d5bdd852
  • SHA256: 3222e79f5792e7f95782d3c41371c78f455ed200bb48e08cc0ccdc5feb370781
  • SHA256: 620ca25390834d7f3ab3606e586f9c6ee76faea9261c27341c2c1ddc709949ed
  • SHA256: 824c316a8de6dcd94c54f65e0191dc1a4655ddb31b45e2d4e1971ff0ea40aa82
  • SHA256: e8385e853408eb414c1744770b1f1584c7a34ffaaf08f857761b50f1ed806660
  • SHA256: 14bcb00e3dccfd1a9bfbc70c257d427d4d1ff722f22f6b8d7ebdbcd317d3e746
  • SHA256: 8cf3b70bf816bdbb7cad61aad71ab0d52298779da5d2a09237039e19d712e090
  • SHA256: f78ac98c6c2d5af1542c2516f26e6af6c0e186bca4a17592e8fb732a6dcf3af5
  • SHA256: 8cd6b8f459d147c5d99cba422527224071b72980b04881c51b9a0978b9c4c3c3
  • aacl[.]co[.]in
  • agir-santeinternationale[.]com
  • agretto[.]com
  • ahan[.]org[.]pk
  • alpsawnings[.]co[.]za
  • alrotec[.]co[.]uk
  • alzheimerzamora[.]com
  • andecam[.]com[.]ar
  • yourbankruptcypartner[.]com
  • ftp[.]yuecmr[.]org
  • iluminaguarapuava[.]com[.]br
  • kbmpti[.]filkom[.]ub[.]ac[.]id
  • macssolutions[.]co[.]uk
  • mass-gardinen-shop[.]de
  • nazreghadir[.]ir
  • nicolassportafolio[.]atwebpages[.]com
  • nrc-soluciones[.]com[.]ar
  • yunethosting[.]rs
  • upscalifornia[.]us
  • usa-ltd[.]ie
  • vanlaereict[.]nl
  • com [.]hk
  • webbandi[.]hu
  • webnet[.]ltd[.]uk/
  • wolffram[.]dk
  • wordpress[.]agrupem[.]com
  • www[.]hangaryapi[.]com[.]tr
  • www[.]zvdesign[.]info
  • 120.72.119[.]5
  • 129[.]232[.]138[.]161
  • 14.225.238[.]176
  • 144.91.78[.]55
  • 145.239.206[.]130
  • 157.245.196[.]132
  • 159.89.202[.]34
  • 162.214.119[.]46
  • 168.195.204[.]82
  • 172.105.226[.]75
  • 175.45.184[.]161
  • 178.18.197[.]4
  • 178.238.236[.]240
  • 179.43.124[.]129
  • 180[.]149[.]241[.]246
  • 185.176.43[.]112
  • 185.98.131[.]156
  • 194.247.196[.]66
  • 194.38.104[.]132
  • 204.11.59[.]91
  • 37.17.210[.]93
  • 41.73.252[.]195
  • 45.186.16[.]18
  • 46.23.71[.]2
  • 51.161.73[.]194
  • 54[.]36[.]167[.]79
  • 59.188.217[.]182
  • 75.103.114[.]38
  • 85.214.64[.]234
  • 86.109.166[.]218
  • 88.198.100[.]31
  • 94.182.227[.]250
  • 95.216.42[.]246

További kockázatcsökkentő / megelőző intézkedések:

  • Makrók futtatásának tiltása.
  • A felhasználók figyelmének felhívása arra, hogy tekintsék gyanúsnak, amennyiben egy beérkezett üzenet egy jóval korábbi (például tavalyi) levelezésre érkezik válaszként.
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása.
  • Alkalmazások és operációs rendszerek naprakészen tartása.
  • Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás.

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

  • Az érintett eszköz hálózatról történő leválasztását.
  • Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
  • Incidens bejelentését az NBSZ NKI részére a CSIRT@nki.gov.hu e-mail címen.

További hivatkozások:

Letöltés:


Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »