Про це йдеться в телеграмі Нацбанку №56-0007/55824 (текст див. нижче), - пише UBR.ua.
У документі департамент безпеки НБУ попередив підопічних про появу і поширення шкідливих програм. Він, за словами чиновників, є «модифікованим експлоїтом уразливості програмного забезпечення Microsoft Word CVE-2015-2545».
Головна його небезпека в тому, що жоден антивірусник не бачить в новій програмі загрози - не вважає її вірусом.
«Розповсюджується шляхом розсилки листів електронної пошти із зловмисного коду, замаскованого під документ Microsoft Word. При цьому антивірусне програмне забезпечення жодного виробника, станом на 10.08.2017, не визначало цей документ, як той, що містить зловмисний код», - підкреслюється в документі НБУ.
У НБУ підкреслюють, що новий вірус використовує малопоширених вразливість Microsoft Word CVE-2015-2545, тому дозволяє застосовувати довільний код на потрібному комп'ютері і отримати фактично повний контроль над ПК.
Для IT-фахівців викладені ключові особливості та індикатори компетенції цього ЗК:
- документ Microsoft Word інтегрований файлом *.eps
- запуск процесу FLTLDR.EXE% COMMONPROGRAMFILES%\Microsoft Shared\GRPHFLT\ EPSIMP32.FLT при відкритті такого файлу
- спроба способу з'єднання за адресою 137.74.224.142:80 як безпосередньо, так і через проксі-сервер
- характерна особливість запиту GET /z/get.php?name= <8-ми значний код
«Характер поведінки шкідливого коду, масовість його поширення, і той факт, що на момент поширення він не визначався ні одним антивірусним програмним забезпеченням дає підстави припускати, що ця акція є підготовкою до масованої кібернетичної атаки на корпоративні мережі підприємств України», - підкреслюють в Нацбанку .
Чиновники закликали банки негайно вжити заходів, які дозволять усунути такий дефект «шляхом встановлення відповідного патча від виробника компанії Microsoft».
Вони збиратимуть інформацію про кіберінціденти за київськими телефонами гарячої лінії (527-31-62, 521-87-80), а також на пошту (yber@bank.gov.ua).
****
ЕЛЕКТРОННЕ ПОВІДОМЛЕННЯ
№56-0007/55824 від 11.08.2017 р.
НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
Департамент безпеки
Банкам України
Про появу зловмисного коду
Департамент безпеки Національного банку України попереджає про появу та розповсюдження зловмисного коду (далі – ЗК).
ЗК є модифікованим експлоітом вразливісті програмного забезпечення Microsoft Word CVE-2015-2545. Розповсюджується шляхом розсилки листів електронної пошти із ЗК, замаскованого під документ Microsoft Word. При цьому антивірусне програмне забезпечення жодного виробника, станом на 10.08.2017, не визначало цей документ, як той, що містить ЗК.
Зазначений ЗК використовує малопоширену вразливість програмного забезпечення Microsoft Word CVE-2015-2545, що дозволяє виконати довільний код на цільовому комп’ютері та фактично отримати повний контроль над комп’ютером.
Зазначений ЗК має наступні особливості та індикатори компрометації системи:
- документ Microsoft Word з интегрованим файлом *.eps
- запуск процесу FLTLDR.EXE %COMMONPROGRAMFILES%\Microsoft Shared\GRPHFLT\EPSIMP32.FLT при відкриванні такого файлу
- спроба з’єднання з адресою 137.74.224.142:80 як безпосередньо, так і через проксі-сервер
- характерна особливість запросу GET /z/get.php?name=< 8ми значний код>
Характер поводження цього ЗК, масовість його розповсюдження, та той факт, що на момент розповсюдження він не визначався жодним антивірусним програмне забезпечення дає підстави припускати, що ця акція є підготовкою до масованої кібернетичної атаки на корпоративні мережі підприємств України.
Пропонуємо негайно провести попереджувальні заходи для унеможливлення проникнення та виконання цього коду, зокрема усунути вказану вразливість шляхом встановлення відповідного патчу від виробника компанії Microsoft.
Нагадуємо про роботу «гарячої лінії» Департаменту безпеки для інформування щодо виникнення кіберінцидентів, зокрема появи ЗК, телефони: (044)527-31-62, (044)521-87-80, час роботи 8.00 - 22.00, e-mail: cyber@bank.gov.ua.
Заступник директора Департаменту безпеки –
начальник управління безпеки інформації Кудін А.М.
Кльок О.В.
(044)527-31-56