Dzięki oficjalnemu komunikatowi ukraińskiej policyjnej komórki ds. cyber prawdopodobnie znamy dość niecodzienny powód ogromnej liczby infekcji ransomware do której doszło dzisiaj na Ukrainie.
Na facebookowym profilu „Департамент кіберполіції Національної поліції України” czyli departamentu cyberpolicji Narodowej Policji Ukrainy pojawił się o godzinie 21:30 komunikat wskazujący na możliwe źródło infekcji ukraińskich komputerów. Jest nim złośliwa aktualizacja popularnego ukraińskiego oprogramowania.
Tajemnicza aktualizacja
Ukraińskiej policji udało się ustalić następujący ciąg wydarzeń:
- Ukraińskie firmy korzystają z oprogramowania służącego do raportowania danych finansowych i zarządzania dokumentami M.E.doc.
- Oprogramowanie to ma wbudowaną funkcję automatycznych aktualizacji, pobieranych z serwera upd.me-doc.com.ua.
- Zazwyczaj odpowiedzi serwera mają około 300 bajtów.
- Dzisiaj o godzinie 10:30 serwer zaczął wysyłać aktualizację o rozmiarze ok. 333 kilobajtów.
- Plik po pobraniu i uruchomieniu wykonywał następujące operacje:
- tworzył plik rundll32.exe
- skanował lokalną sieć po portach 139 i 445 TCP
- tworzył plik perfc.bat
- wykonywał cmd.exe z poleceniem / c schtasks / RU „SYSTEM” / Create / SC once / TN „” / TR „C: \ Windows \ system32 \ shutdown.exe / r / f” / ST 14:35
- tworzył plik ac3.tmp () i go uruchamiał
- tworzył plik dllhost.dat (znany z opisu dzisiejszego ataku ransomware)
Wszystko zatem wskazuje, że część ataku była przeprowadzona z użyciem złośliwej aktualizacji oprogramowania. Firma ME DOC najpierw potwierdziła, że jej serwery dystrybuowały złośliwe oprogramowanie, a po godzinie zaczęła tę teorię kwestionować. Wygląda zatem na to, że przyjdzie nam jeszcze chwilę poczekać na ostateczne wyjaśnienie mechanizmu infekcji.
Dane pliku ac3.tmp:
SHA256: 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f SHA1: 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf MD5: 7e37ab34ecdcc3e77e24522ddfd4852d
Komentarze
Czyli rozumiem, że rząd ukraiński winnego już znalazł…:)? (ME DOC)
Po godzinie prawnicy wytłumaczyli, że ME DOC będzie musiała płacić odszkodowania. Stąd nagły zwrot w stanowisku firmy, usuniemy z serwerów i udajemy, że to nie my.
A był taki fajny webinar, na którym mówiono, że aktualizacje są konieczne ;)
Może atakujący przejął jakiś lokalny DNS (wewnętrzny lub ISP) i dzięki temu zhostował złośliwą aktualizację…
https://www.ingbank.pl/aktualnosci/bankowosc-elektroniczna?news_id=1102158-ostrzezenie-przed-cyberatakami-na-klientow-bankow