Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».
По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».
Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:
- создан файл rundll32.exe;
- обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
- создан файл perfc.bat;
- запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
- создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
- создан файл dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.
Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.
Также украинские киберкопы отметили, что заражение через M.E.doc не стало единственным вектором атаки, среди способов распространения зловреда также фиксировался фишинг.
На сайте M.E.doc пока присутствует только предупреждение о том, что на сервера сервиса осуществляется вирусная атака, в связи с чем администрация просит у своих пользователей прощения за временные неудобства.
Обновлено:
Департамент киберполиции Национальной полиции Украины выложил еще одну запись на своей Facebook-странице, где указал, что «не обвиняет, а констатирует факты»:
«Обращаем внимание, что мы не обвиняем компанию «M.E.doc», лишь констатируем выявленные факты, которые следует детально проверить.
Поэтому на период проверки мы не рекомендуем осуществлять соответствующие обновления. Мы должны были об этом предупредить пользователей.»
