Az elmúlt időszakban több szervezet is kapott olyan e-mailes megkereséseket, amelyek látszólag az Európai Bizottságtól érkeztek, tárgyuk a „Helyzet az EU ukrajnai határainál” volt, azonban káros hivatkozásokat és fájlcsatolmányokat tartalmaztak. A levél az euniceyamhk[at]outlook.com címre válaszol és tartalmaz egy .exe és .zip fájlok letöltését elindító hivatkozást. A fájlok a fontEDL.exe, DocConv.dll és FontLog.dat fájlokat és egy csaló .docx-et is tartalmaznak. A kártevő fájlok irányításáért felelős (C&C) szerver IP-címe és a művelet kivitelezése hasonlóságot mutat egy korábbi kampánnyal.
Az alábbi technikai azonosítók (IoC) tiltását javasoljuk az informatikai határvédelmi eszközökön beállítani:
- Situation at the EU borders with Ukraine.exe: https://www.virustotal.com/gui/file/effd63168fc7957baf609f7492cd82579459963f80fc6fc4d261fbc68877f5a1
- Situation at the EU borders with Ukraine.docx: https://www.virustotal.com/gui/file/a07cece1fa9b3c813c0b6880b24a6494a9db83e138102da3bce30ebff51909c0
- FontLog.dat: https://www.virustotal.com/gui/file/ca622bdc2b66f0825890d36ec09e6a64e631638fd1792d792cfa02048c27c69f
- DocConv.dll: https://www.virustotal.com/gui/file/6019e6ee3dee2ec798667ccb34a2ab8d70bf5960d35f55157a9cb535b00b243f
- FontEDL.exe: https://www.virustotal.com/gui/file/8def128ccd97a6615b5d942d3c47cae75817291de5093cddca360ea17f973e96
Network: hXXp://www[.]zyber-i.com/europa/2022.zip | Phishing link hXXps://92.118.188.78/ | Probable C&C hXXp://103.107.104.19/FontLog.dat hXXp://103.107.104.19/DocConvDll.dll hXXp://103.107.104.19/FontEDL.exe hXXp://103.107.104.19/2022/eu.docx hXXp://103.107.104.19:33255/hXXp:/103.107.104.19/2022/eu.docx hXXp://103.107.104.19:33182/hXXp:/103.107.104.19/2022/eu.docx
