2018-05-25 17:14

NSEC har observerat en mail-våg med bifogat Word-dokument. Dokumentet nyttjar sårbarheter i office (Threadkit, CVE-2017-11882 och CVE-2017-8570 ). Sårbarheterna leder till att en skadlig EXE-fil laddas ned och exekveras på systemet. NSEC kan bekräfta att exploit fungerar på sårbara system.

Ärende: You have received new messages from HMRC
Avsändare: <avsändare>@notifications.hmrc.gov.uk
Bilaga: FORMP16T.docx

NSEC SOC har vidtagit proaktiva åtgärder i kunders miljöer, samt skickat prov av filer och anmält IP/URL:er  till relaterade tillverkares reputation tjänster.

IoC:

Filnamn:
FORMP16T.docx
ounehcnaykuL.exe
task1.bat
task2.bat

MD5:
a5eb363d44116b6cecb2aa7527fd7a6a  (exe)
29575d4466cb36d6c83661353b942d0e (bat)

URL:
hxxp://cypruscars4u[.]com/logo.jpg
hxxp://responsivepixels[.]co.uk/logo.bin
hxxp://figs4u.co[.]uk/logo.bin

IP:
87[.]247.241.143
54[.]38.181.170

mvh

NSEC