Szervezetek ellen irányuló rosszindulatú e-mailekkel kapcsolatos tájékoztató

 

Az elmúlt időszakban több szervezet is kapott olyan e-mailes megkereséseket, amelyek látszólag az Európai Bizottságtól érkeztek, tárgyuk a „Helyzet az EU ukrajnai határainál” volt, azonban káros hivatkozásokat és fájlcsatolmányokat tartalmaztak. A levél az euniceyamhk[at]outlook.com címre válaszol és tartalmaz egy .exe és .zip fájlok letöltését elindító hivatkozást. A fájlok a fontEDL.exe, DocConv.dll és FontLog.dat fájlokat és egy csaló .docx-et is tartalmaznak. A kártevő fájlok irányításáért felelős (C&C) szerver IP-címe és a művelet kivitelezése hasonlóságot mutat egy korábbi kampánnyal.

Az alábbi technikai azonosítók (IoC) tiltását javasoljuk az informatikai határvédelmi eszközökön beállítani:

 

Network: hXXp://www[.]zyber-i.com/europa/2022.zip | Phishing link hXXps://92.118.188.78/ | Probable C&C hXXp://103.107.104.19/FontLog.dat hXXp://103.107.104.19/DocConvDll.dll hXXp://103.107.104.19/FontEDL.exe hXXp://103.107.104.19/2022/eu.docx hXXp://103.107.104.19:33255/hXXp:/103.107.104.19/2022/eu.docx hXXp://103.107.104.19:33182/hXXp:/103.107.104.19/2022/eu.docx