Ukraińskie infekcje ransomware skutkiem podmiany aktualizacji popularnego programu

dodał 27 czerwca 2017 o 21:14 w kategorii Włamania  z tagami:
Ukraińskie infekcje ransomware skutkiem podmiany aktualizacji popularnego programu

Dzięki oficjalnemu komunikatowi ukraińskiej policyjnej komórki ds. cyber prawdopodobnie znamy dość niecodzienny powód ogromnej liczby infekcji ransomware do której doszło dzisiaj na Ukrainie.

Na facebookowym profilu „Департамент кіберполіції Національної поліції України” czyli departamentu cyberpolicji Narodowej Policji Ukrainy pojawił się o godzinie 21:30 komunikat wskazujący na możliwe źródło infekcji ukraińskich komputerów. Jest nim złośliwa aktualizacja popularnego ukraińskiego oprogramowania.

Tajemnicza aktualizacja

Ukraińskiej policji udało się ustalić następujący ciąg wydarzeń:

  1. Ukraińskie firmy korzystają z oprogramowania służącego do raportowania danych finansowych i zarządzania dokumentami M.E.doc.
  2. Oprogramowanie to ma wbudowaną funkcję automatycznych aktualizacji, pobieranych z serwera upd.me-doc.com.ua.
  3. Zazwyczaj odpowiedzi serwera mają około 300 bajtów.
  4. Dzisiaj o godzinie 10:30 serwer zaczął wysyłać aktualizację o rozmiarze ok. 333 kilobajtów.
  5. Plik po pobraniu i uruchomieniu wykonywał następujące operacje:
    • tworzył plik rundll32.exe
    • skanował lokalną sieć po portach 139 i 445 TCP
    • tworzył plik perfc.bat
    • wykonywał cmd.exe z poleceniem / c schtasks / RU „SYSTEM” / Create / SC once / TN „” / TR „C: \ Windows \ system32 \ shutdown.exe / r / f” / ST 14:35
    • tworzył plik ac3.tmp () i go uruchamiał
    • tworzył plik dllhost.dat (znany z opisu dzisiejszego ataku ransomware)

Wszystko zatem wskazuje, że część ataku była przeprowadzona z użyciem złośliwej aktualizacji oprogramowania. Firma ME DOC najpierw potwierdziła, że jej serwery dystrybuowały złośliwe oprogramowanie, a po godzinie zaczęła tę teorię kwestionować. Wygląda zatem na to, że przyjdzie nam jeszcze chwilę poczekać na ostateczne wyjaśnienie mechanizmu infekcji.

Dane pliku ac3.tmp: