Киберполиция: Вчерашняя вирусная атака прошла через софт для отчетности M.E.doc
Украинская Киберполиция по следам вчерашней масштабной атаки опубликовала анализ событий. По версии ведомства, вирусная атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc.
«Это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent «medoc1001189″. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром (27 июня — ред.) в 10:30 программа обновилась, обновление составило примерно 333 КБ», — сообщает ведомство.
По данным Киберполиции, после обновления произошло следующее:
- был создан файл rundll32.exe;
- прошло обращение к локальным IP на TCP-порты 139 и 445;
- был создан файл perfc.bat;
- была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
- был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
- был создан файл dllhost.dat.
Как отмечает ведомство, в дальнейшем вирус распространялся через уязвимость в протоколе Samba (она же использовалась во время атак WannaCry).
В ведомстве советуют не применять обновление, которое предлагает M.E.doc при запуске. В Киберполиции также отмечают, что это не является обвинениями в сторону разработчика M.E.doc, а только констатацией фактов. Заражение через M.E.doc. — это один из векторов атаки, она проходила и с помощью фишинга.
Отметим, что в случае с вирусом XData специалисты по безопасности также говорили о том, что возможным путем его распространения могло стать обновление M.E.doc.
Комментарии | 6
уже вторая атака через их софт… может стоит на этих парней обратить внимание соответствующим органам?
Брехня!!
Последнее обновление в ПО M.E.doc было 22.06.2017, врать киберполиция ещё грамотно не научилась!!!
Майкрософт получил доказательства, что одним из векторов был именно M.E.doc
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
А мой ping в 64 байта не легитимный?
$ ping upd.me-doc.com.ua
PING upd.me-doc.com.ua (92.60.184.55) 56(84) bytes of data.
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=1 ttl=54 time=25.1 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=2 ttl=54 time=25.4 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=3 ttl=54 time=25.2 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=4 ttl=54 time=25.3 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=5 ttl=54 time=25.3 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=6 ttl=54 time=25.6 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=7 ttl=54 time=25.1 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=8 ttl=54 time=26.0 ms
64 bytes from reduk-55.colo0.kv.wnet.ua (92.60.184.55): icmp_seq=9 ttl=54 time=25.3 ms