Киберполиция: Вчерашняя вирусная атака прошла через софт для отчетности M.E.doc

Украинская Киберполиция по следам вчерашней масштабной атаки опубликовала анализ событий. По версии ведомства, вирусная атака возникла через уязвимость в программе для отчетности и документооборота M.E.doc. , пишут AIN.UA

«Это ПО имеет встроенную функцию обновления, которая периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent «medoc1001189″. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром (27 июня — ред.) в 10:30 программа обновилась, обновление составило примерно 333 КБ», — сообщает ведомство.

По данным Киберполиции, после обновления произошло следующее:

• был создан файл rundll32.exe;
• прошло обращение к локальным IP на TCP-порты 139 и 445;
• был создан файл perfc.bat;
• была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:Windowssystem32shutdown.exe /r /f» /ST 14:35”;
• был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
• был создан файл dllhost.dat.

Как отмечает ведомство, в дальнейшем вирус распространялся через уязвимость в протоколе Samba (она же использовалась во время атак WannaCry).

В ведомстве советуют не применять обновление, которое предлагает M.E.doc при запуске. В Киберполиции также отмечают, что это не является обвинениями в сторону разработчика M.E.doc, а только констатацией фактов. Заражение через M.E.doc. — это один из векторов атаки, она проходила и с помощью фишинга.

Отметим, что в случае с вирусом XData специалисты по безопасности также говорили о том, что возможным путем его распространения могло стать обновление M.E.doc.