Aktualizujeme a dáváme do povědomí informace o neustávající aktivitě kampaně cílící na organizace v České republice, kterou jsme popisovali v https://nukib.gov.cz/cs/infoservis/hrozby/1478-varovani-o-hrozbe-emotet-trickbot-ryuk/ .
Vzhledem k aktuálnímu vývoji na poli hrozeb a zranitelností doporučujeme organizacím, které provozují bezpečnostní systémy schopné filtrovat příchozí soubory v rámci webového a e-mailového provozu, aby podnikly kroky k zajištění bezpečnosti systémů, spočívající v blokování souborů archivních typů (především ZIP), pokud tyto archivy obsahují soubor(y) s příponou LNK. Škodlivé soubory LNK jsou v současnosti užívány pro šíření škodlivého kódu, přičemž tento mechanismus užívaly i některé verze Trojanu TrickBot (viz https://isc.sans.edu/diary/25290).
Dalším mechanismem šíření škodlivého kódu jsou sofistikované phishingové e-maily, které se již vyznačují dokonalou češtinou. Často se vyskytujícím příkladem je vyžadování proplacení neuhrazených pohledávek, vyzvednutí zásilky apod. E-mail v takovém případě obsahuje dokument s příponami *.doc, či *.docx, který po otevření vyžaduje spuštění maker či vypnutí chráněného zobrazení dokumentu pomocí tlačítka "Povolit úpravy". Pokud uživatel dokument otevře, je v jeho počítači následně spuštěn škodlivý kód, který se z pohledu běžného uživatele nemusí projevovat neobvyklým chováním počítače.
Mimo jiné se šíření trojanu Trickbot po lokální síti vyznačuje kopírováním názvu existujících souborů do škodlivých souborů s příponou .jse (JScript Encoded File). Příkladem je vytvoření souboru "moje_fotka.jse" z originálního souboru "moje_fotka.jpg". Tyto soubory se mohou nacházet jak na lokálním, tak sdíleném uložišti. Tímto apelujeme na uživatele, aby při nalezení podobných souborů kontaktovali svého správce.
Doporučujeme:
- Blokovat archivní typy souborů obsahující přílohy .LNK.
- Být obezřetný při práci s přílohami e-mailů.
- V přílohách nepovolovat spouštění maker či opouštění chráněného režimu.
- Kontrolovat jméno uvedené v e-mailu s e-mailovou adresou odesílatele.
- Při podezření kontaktovat odesílatele e-mailu a ověřit si pravost e-mailu.
- V případě otevření přílohy neprodleně kontaktovat správce IT.
- Při běžné práci s počítačem nevyužívat účet s administrátorskými oprávněními.
Aktualizovaný seznam IoCs:
195.54.162.179
107.172.208.51
107.172.208.52
107.172.251.159
107.172.29.108
107.181.187.221
114.8.133.71
119.252.165.75
121.100.19.18
131.161.253.190
144.217.50.246
146.185.253.147
170.238.117.187
170.84.78.224
171.100.142.238
172.82.152.131
172.82.152.136
180.180.216.177
181.112.157.42
181.113.28.146
181.129.104.139
181.129.134.18
181.140.173.186
181.196.207.202
184.164.137.190
185.14.30.176
186.232.91.240
186.71.150.23
190.214.13.2
194.5.250.62
195.123.245.127
198.23.252.117
198.46.161.213
200.127.121.99
200.21.51.38
202.29.215.114
23.94.70.12
36.89.85.103
46.174.235.36
5.182.210.132
5.2.75.137
64.44.51.106
66.55.71.152
81.112.157.42
81.129.134.18
85.143.220.41