27.06.2017 | 21:14

Adam Haertle

Ukraińskie infekcje ransomware skutkiem podmiany aktualizacji popularnego programu

Dzięki oficjalnemu komunikatowi ukraińskiej policyjnej komórki ds. cyber prawdopodobnie znamy dość niecodzienny powód ogromnej liczby infekcji ransomware do której doszło dzisiaj na Ukrainie.

Na facebookowym profilu „Департамент кіберполіції Національної поліції України” czyli departamentu cyberpolicji Narodowej Policji Ukrainy pojawił się o godzinie 21:30 komunikat wskazujący na możliwe źródło infekcji ukraińskich komputerów. Jest nim złośliwa aktualizacja popularnego ukraińskiego oprogramowania.

Tajemnicza aktualizacja

Ukraińskiej policji udało się ustalić następujący ciąg wydarzeń:

  1. Ukraińskie firmy korzystają z oprogramowania służącego do raportowania danych finansowych i zarządzania dokumentami M.E.doc.
  2. Oprogramowanie to ma wbudowaną funkcję automatycznych aktualizacji, pobieranych z serwera upd.me-doc.com.ua.
  3. Zazwyczaj odpowiedzi serwera mają około 300 bajtów.
  4. Dzisiaj o godzinie 10:30 serwer zaczął wysyłać aktualizację o rozmiarze ok. 333 kilobajtów.
  5. Plik po pobraniu i uruchomieniu wykonywał następujące operacje:
    • tworzył plik rundll32.exe
    • skanował lokalną sieć po portach 139 i 445 TCP
    • tworzył plik perfc.bat
    • wykonywał cmd.exe z poleceniem / c schtasks / RU „SYSTEM” / Create / SC once / TN „” / TR „C: \ Windows \ system32 \ shutdown.exe / r / f” / ST 14:35
    • tworzył plik ac3.tmp () i go uruchamiał
    • tworzył plik dllhost.dat (znany z opisu dzisiejszego ataku ransomware)

Wszystko zatem wskazuje, że część ataku była przeprowadzona z użyciem złośliwej aktualizacji oprogramowania. Firma ME DOC najpierw potwierdziła, że jej serwery dystrybuowały złośliwe oprogramowanie, a po godzinie zaczęła tę teorię kwestionować. Wygląda zatem na to, że przyjdzie nam jeszcze chwilę poczekać na ostateczne wyjaśnienie mechanizmu infekcji.

Dane pliku ac3.tmp:

SHA256: 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f
SHA1: 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
MD5: 7e37ab34ecdcc3e77e24522ddfd4852d
Powrót

Komentarze

Zostaw odpowiedź do MrD

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ukraińskie infekcje ransomware skutkiem podmiany aktualizacji popularnego programu

Komentarze