В киберполиции рассказали о вчерашней атаке
Украинская Киберполиция по следам вчерашней масштабной атаки опубликовала анализ событий. По версии ведомства, вирусная атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc.
«Это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent «medoc1001189″. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром (27 июня — ред.) в 10:30 программа обновилась, обновление составило примерно 333 КБ», — сообщает ведомство.
По данным Киберполиции, после обновления произошло следующее:
- был создан файл rundll32.exe;
- прошло обращение к локальным IP на TCP-порты 139 и 445;
- был создан файл perfc.bat;
- была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
- был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
- был создан файл dllhost.dat.
Как отмечает ведомство, в дальнейшем вирус распространялся через уязвимость в протоколе Samba (она же использовалась во время атак WannaCry).
В ведомстве советуют не применять обновление, которое предлагает M.E.doc при запуске. В Киберполиции также отмечают, что это не является обвинениями в сторону разработчика M.E.doc, а только констатацией фактов. Заражение через M.E.doc. — это один из векторов атаки, она проходила и с помощью фишинга.
