top of page
ISSP

Зловмисники використали вразливість CVE-2017-0199

У поштовому повідомленні OriginalMessage.txt.msg у вкладенні міститься шкідливий файл Prezent_UA_2k_berezen_PRESS.ppsx, який є презентацією з 16 слайдів про соціально-політичну ситуацію в Україні.


Приклад слайду з файлу Prezent_UA_2k_berezen_PRESS.ppsx

Шкідливий файл цікавий тим, що не містить вбудованих шкідливих макросів. Замість цього, зловмисники використовували вразливість CVE-2017-0199, яка дозволяє згенерувати шкідливий PPSX файл і доставити жертві payload без будь-якої складної конфігурації. При експлуатуванні використовується файл slide1.xml.rels. Файли з розширенням .rels є файлами відносин. Ці файли містять інформацію про те, як частини різних документів Microsoft Office поєднуються один з одним. Ця інформація також називається частинами відносин. У випадку з даною шкідливою ​​презентацією в файл slide1.xml.rels була записана адреса: hxxp: //socis.cf/? File = wj5yuxmp.hmf:


Вміст файлу slide1.xml.rels

За адресою hxxp: //socis.cf/? File = wj5yuxmp.hmf міститься скрипт, який створює шкідливий файл в директорії % temp% і запускає його. На момент аналізу, адреса вже недоступна.


Індикатори компрометації

URLs:

hxxp: //socis.cf/? file = wj5yuxmp.hmf


IP адреси:

185.176.43.94 (Болгарія)


файли:

Prezent_UA_2k_berezen_PRESS.ppsx

MD5: CAFB6B5795C26376289832CFFC3AEE94

Comentarios


bottom of page