Ночью 19.01.2021 была осуществлена массовая рассылка по государственным учреждениям Украины фишинговых электронных писем якобы от Администрации Госспецсвязи. Письма отправлялись из почтового ящика zapros[@]dsszzi.gov.ua, сообщает CERT-UA. Такого почтового ящика и подразделения «департамент проверок» в Госспецсвязи не существует, имя отправителя было подменено.
Тема письма: «От: Администрации Госспецсвязи».
Все письма отправлялись с IP-адреса 212.44.151 [.] 60, который находится в Российской Федерации.
Фишинговые письма содержат прикрепленный файл с архивом, в котором находится программное обеспечение для удаленного доступа к компьютерам жертв.
! ️! ️ Просим в случае выявления указанных писем СРОЧНО сообщать CERT-UA на почту
Новость с детальным анализом вредоносного файла будет опубликована позже на сайте cert.gov.ua.
Индикаторы компрометации:
email:
zapros[@]dsszzi.gov.ua
email_subject:
«Від: АДМІНІСТРАЦІЯ ДЕРЖСПЕЦЗВ’ЯЗКУ»
File:
SHA-1: F55357DD19182889C22CC72D608BADF6A02E2679 (Електронний запит.rar)
SHA-1: 0FA82EE93797C30D21BE812591095711DE67DC2D (Електронний запит.rar)
SHA-1: 5A9D6B1FCDAF4B2818A6EECA4F1C16A5C24DD9CF (installer.exe)
SHA-1: E6F61438FCD4C790E2EC9664948363407DA17D51 (killself.bat)
SHA-1: 893630944F020FFF0E700160402615D049716A51 (host_news_mod_mod.msi)
С2:
hХХp://sv.symcd[.]com/MFAwTjBMMEowSDAJBgUrDgMCGgUABBQe6LNDJdqx%2BJOp7hVgTeaGFJ%2FCQgQUljtT8Hkzl699g%2B8uK8zKt4YecmYCDygQhZNRsIkG0AKTwJolWg%3D%3D
hХХp://s2.symcb[.]com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCED141%2Fl2SWCyYX308B7Khio%3D
hХХp://rutils[.]com/utils/inet_id_notify.php
Domain:
s2.symcb[.]com
sv.symcd[.]com
rutils[.]com
IP:
23.46.123[.]27
212.44.151[.]60