Компанія ISSP зафіксувала нову хвилю вірусної атаки
Фахівці компанії ISSP Labs зафіксували початок нової хвилі кібератак із використанням офіційного сайта компанії з розробки комплексу бухгалтерського обліку Crystal Finance Millennium.
Згідно з прес-релізом компанії, під час моніторингу вірусної активності було виявлено розсилку, в якій було ідентифіковано цікавий зразок. Файл з назвою "док.zip" завантажується разом з отриманим електронним листом, який відкриває жертва, і є текстовим файлом зі скриптом мовою JavaScript. Скрипт є завантажувачем, основне завдання якого завантажити і запустити виконуваний файл (модуль) load.exe, який стає вікном для зловмисників.
"Цей шкідливий файл збирає інформацію про комп'ютери жертви і відправляє її на командні центри зловмисників. Паралельно з цим, цей файл чекає вказівок від зловмисників і чекає на команду на встановлення додаткових модулів, які перетворять комп'ютер жертви в бажаний для хакерів", - повідомив керівник ISSP Labs Олексій Ясинський.
У прес-релізі наголошується, що згідно з публічною інформацією, cfm.com.ua - сайт програмного комплексу бухгалтерського обліку Crystal Finance Millennium. Імовірно, зловмисники використовували вразливості сайта для розміщення там шкідливих файлів, або це результат атаки NotPetya 27 червня (зловмисники лишили для себе можливість несанкціонованого входу і тепер ним скористалися).
Компанія рекомендує тимчасово заблокувати на файерволах ip-адреси та посилання, зазначені в звіті.
"Після NotPetya 27 червня ще далеко не всі відновили свої інфраструктури, не кажучи вже про їх очищення від присутності хакерів. Тому будь-яка компанія може бути як плацдармом, так і метою атаки", - додав глава ради директорів ISSP Олег Дерев'янко.
Крім іншого глава наглядової ради "Октава Капітал" Олександр Кардаков написав, що вчора компанії надійшли повідомлення про масові поштові розсилки, що містять шкідливий код, як правило, в одному з архівних форматів: ARJ, ZIP, 7-ZIP і ін.
"Вранці наша система захисту електронної пошти перехопила подібні повідомлення з вкладенням 7-ZIP, що маскується під вкладені рахунки. Вміст аналізується, але вже зрозуміло, що він містить активну частину, яка намагається встановити інтернет-з'єднання", - зазначив він.
Серед рекомендацій для користувачів він назвав видалення листів з архівними вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх.
"Якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office, обов'язково користуйтеся засобами попереднього перегляду вмісту файлу. Якщо ви системний адміністратор, налаштуйте вашу поштову систему на переміщення підозрілих вкладень в карантин із подальшим поглибленим скануванням. Принаймні, до 28 серпня", - резюмував О.Кардаков.
Раніше Служба безпеки України попередила про можливу нову кібератаку на мережі українських установ та підприємств, у зв'язку з чим закликає дотримуватися розроблених рекомендацій.
"27 червня цього року Україна зазнала масштабної кібератаки з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya. Під час аналізу наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України ... з подальшим знищенням їхніх файлів cookies і відправленням на командний сервер. Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення кіберрозвідки, так і в цілях подальших деструктивних акцій", - зазначили в СБУ.
