`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

В Україні зафіксовано кібератаку з використанням шкідливої програми HeaderTip

24 марта 2022 г., 12:25
0 
 

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє про виявлення RAR-архіва "Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar", який містить одноіменний EXE-файл.

Запуск виконуваного файлу призведе до створення на комп'ютері документу-приманки "#2163_02_33-2022.pdf" (стосується листа Національної поліції України), а також DLL-файлу з видаленим MZ-заголовком "officecleaner.dat" та BAT-файлу "officecleaner.bat", що забезпечить формування коректного DLL-файлу, його запуск і запис в реєстр Windows для забезпечення персистентності.

Згаданий DLL-файл класифіковано як шкідливу програму HeaderTip, основним призначенням якої є завантаження та виконання інших DLL-файлів.

Активність відстежується за ідентифікатором UAC-0026. Аналогічні атаки, для прикладу, фіксувалися у вересні 2020 року.


Індикатори компрометації

Файли:

1af894a5f23713b557c23078809ed01c    839e968aa5a6691929b4d65a539c2261f4ecd1c504a8ba52abbfbac0774d6fa3    Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar
13612c99a38b2b07575688c9758b72cc    042271aadf2191749876fc99997d0e6bdd3b89159e7ab8cd11a9f13ae65fa6b1    Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.exe
3293ba0e2eaefbe5a7c3d26d0752326e    c0962437a293b1e1c2702b98d935e929456ab841193da8b257bd4ab891bf9f69    #2163_02_33-2022.pdf (документ-приманка)
9c22548f843221cc35de96d475148ecf    830c6ead1d972f0f41362f89a50f41d869e8c22ea95804003d2811c3a09c3160    officecleaner.bat
4fb630f9c5422271bdd4deb94a1e74f4    a2ffd62a500abbd157e46f4caeb91217738297709362ca2c23b0c2d117c7df38    officecleaner.dat
1aba36f72685c12e60fb0922b606417c    63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1    httpshelper.dll (HeaderTip)


Мережеві:

Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
hxxps://product2020.mrbasic[.]com:8080
product2020.mrbasic[.]com
104[.]155.198.25


Хостові:

%TMP%\#2163_02_33-2022.pdf
%TMP%\officecleaner.bat
%TMP%\officecleaner.dat
%TMP%\officecleaner.dll
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\httpsrvlog
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\httpshelper
c:\windows\system32\rundll32.exe %TMP%\httpshelper.dll,OAService

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT