| 0 |
|
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт масового розповсюдження електронних поштових повідомлень з темою "лист схвалення касового забезпечення" серед державних організацій України. Вміст листа стосується тематики війни та надання фінансової допомоги (вірогідно, автоматично перекладений на українську мову).
Додатком до електронного листа є XLS-файл "лист підтримки.xlsx", відкриття якого призведе до активації макросу, що забезпечить завантаження і запуск шкідливої програми Formbook/XLoader v2.5 (очевидно, що вміст-приманка документу не релевантна для громадян України).
Згадана шкідлива програма здійснить викрадення автентифікаційних даних, збережених у програмах комп'ютера, та їхню подальшу відправку на сервер управління зловмисників.
Подібні атаки мають систематичний характер та асоціюються з кластером активностей, що відстежується за ідентифікатором UAC-0041.
Індикатори компрометації:
Файли:
93feeeab72617e4f5630fd79f2fdd4b6 лист підтримки.xlsx
95d60664267d442e99c41e2aa3baff68 vbc.exe
5a2c58b9ad136ecaea903e47ca7d0727 formbook.exe (Formbook)
Мережеві:
mariya@posish[.]club
104[.]168.247.233
hxxp://103[.]167.92.57/xx_cloudprotect/vbc.exe
103[.]167.92.57
gobits3[.]com
(список хибних доменних імен)
humamzarodi[.]info
cillacollection[.]com
phy[.]wiki
londonkhaboos[.]com
robostetics[.]com
bryanheritagefarm[.]com
writingdadsobituary[.]com
uitzendstudent[.]online
kaeltefath[.]com
ooop63[.]website
oncasi-tengoku[.]com
weihiw[.]store
gameshill[.]net
clublebron[.]com
fromuktosa[.]com
hilversumrp[.]com
formigocerdanya[.]com
jokeaou[.]com
bvgsf[.]xyz
reallyreadyservices[.]com
zrbusiness[.]com
homephotomarketing[.]com
evpunk[.]com
hermanmitchels[.]com
globalprotectionllc[.]com
carlab[.]rentals
aocpaysage[.]com
g3kbwq[.]xyz
ojosnegroshacienda[.]com
greenvilletaxfirm[.]com
circuitoristorazione[.]com
chicklet[.]biz
allegiancebookkeeper[.]com
xyyvivo[.]com
cassandracheatham[.]com
gobits3[.]com
upcxi[.]xyz
adjd[.]info
hdwix[.]online
sbxtv[.]info
abodhakujena[.]com
yhomggsmtdynchb[.]store
jeffreylau[.]xyz
lovelypersonal[.]com
lwmdqj[.]com
tapelm[.]com
ulasan-online[.]com
roleplayhr[.]com
avilarts[.]com
marygracerenella[.]com
yellowumbrellamarketing[.]com
ilyapershin[.]com
bellkennedy[.]online
muhammadsaqib[.]tech
certuslogistics[.]com
unforgettableamour[.]com
jtelp[.]com
movinonuprva[.]com
xn--ltda-epa[.]com
knolmail[.]xyz
houstonorganicpestcontrol[.]com
befancie[.]com
typejitem[.]store
zqt2578[.]com
astrologyplatform[.]com
Хостові:
%PUBLIC%\vbc.exe
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
