07.03.2021 состоялась массовая рассылка по государственным органам Украины фишинговых писем с вложенным вредоносным программным обеспечением. Тема писем отличается, однако основной тематикой является НАТО, сообщили в CERT-UA.
Соответствующие письма могут содержать в себе ссылку на фишнговые ресурсы, прикрепленные файлы формата pdf, doc, rtf или zip архивы с паролем или без.
Например, pdf файлы содержат ссылки на сервис сокращенных адресов с переадресацией на командно-контрольные серверы, с которых загружается zip архив или doc, rtf файл.
doc, rtf файлы содержат вредную нагрузку, использующий уязвимость CVE-2017-11882. В случае открытия документа, встроенный шеллкод загружает и инициирует запуск файла index.txt, который представляет собой троян SpyEyes. Соответствующее ВПО устанавливает соединение с С2 серверами, передает и загружает файлы.
Просим, в случае выявления указанных писем, СРОЧНО сообщать CERT-UA на почту
Более подробная информация с индикаторами компрометации: https://www.facebook.com/UACERT/posts/4044534928901216