Главная страница » IOC
0
10 месяцев
IOC

Установка кейлоггера с помощью уязвимости MS Office (Kimsuky)

security

Аналитический центр AhnLab SEcurity Intelligence Center (ASEC) обнародовал информацию о том, как угрожающая группа Kimsuky использовала уязвимость в редакторе уравнений MS Office для распространения кейлоггера. Злоумышленники использовали уязвимость (CVE-2017-11882) в редакторе уравнений EQNEDT32.EXE, входящем в состав MS Office, для запуска страницы со вредоносным скриптом с помощью процесса mshta.

Страница, к которой подключается mshta, имеет адрес http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php и использует имя файла error.php.

Содержимое вредоносного скрипта (error.php) включает загрузку дополнительного штамма вредоносного ПО из сервера C2 (Query=50) с помощью команды PowerShell. В дальнейшем создается файл desktop.ini.bak по пути Users\Public\Pictures и регистрируется в ключе Run в реестре. Ошибочное кодирование части скрипта препятствовало его успешной регистрации и созданию файла. Однако после внесения изменений сценария кейлоггер был создан и корректно зарегистрирован.

Первая загруженная вредоносная программа - скрипт PowerShell (50.php) собирает информацию о системе и IP-адресе и отправляет ее на сервер C2 (Query=97). Этот скрипт также может загружать и выполнять кейлоггер с C2 (Query=107). Кейлоггер создает файл desktop.ini.bak и записывает в него данные о нажатых клавишах и буфере обмена пользователя.

Команда Kimsuky продолжает использовать уязвимость (CVE-2017-11882) в редакторе уравнений MS Office, чтобы увеличить эффективность своих атак. Важно своевременно устанавливать патчи, чтобы предотвратить возможное заражение вредоносным ПО через уязвимости. Необходимо также обновлять программное обеспечение и воздерживаться от использования устаревших программ. Пользователи также должны быть предельно осторожны и избегать открытия подозрительных документов. Дополнительно рекомендуется установить и обновить антивирусное программное обеспечение для защиты от вредоносного ПО. Для предотвращения кибератак рекомендуется использовать специальные песочницы, такие как MDS.

Indicators of Compromise

MD5

  • 279c86f3796d14d2a4d89049c2b3fa2d
  • 5bfeef520eb1e62ea2ef313bb979aeae
  • d404ab9c8722fc97cceb95f258a2e70d
Комментарии: 0
Похожие записи
0
8 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
9 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.