PT-2023-10358 · Undefined · Undefined
Published
2023-07-17
·
Updated
2023-07-17
·
CVE-2017-011882
None
No severity ratings or metrics are available. When they are, we'll update the corresponding info on the page.
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Основная идея: В данной статье рассматривается недавняя активность GuLoader или ModiLoader/DBatLoader и приводятся индикаторы компрометации (IOC) для заражения Formbook "QM18". В статье также предлагаются рекомендации по мерам безопасности для защиты от подобных угроз, таким как сканирование вложений, создание "песочницы" для вложений, мониторинг сетевого трафика и использование платформ анализа угроз.
В постоянно развивающемся мире кибербезопасности в последнее время наблюдается всплеск активности, связанной с GuLoader или ModiLoader/DBatLoader. В данной статье рассматривается конкретная активность загрузчика для Formbook "QM18", произошедшая 11 июля 2023 года. Схема заражения Formbook с помощью загрузчика состоит из пяти шагов, которые начинаются с получения и открытия пользователем вложения .docx из электронного письма. Вложение эксплуатирует CVE-2017-0199 и извлекает RTF-файл с URL-адреса. Затем RTF-файл эксплуатирует CVE-2017-011882 и извлекает HTA-файл. Из этого HTA-файла извлекается и запускается EXE-файл, который выступает в роли загрузчика и извлекает HTML-файл.
Индикаторы компрометации (IOCs) для этого заражения включают несколько SHA256-хэшей, размеры файлов, имена файлов, типы файлов, описания файлов и URL-адреса. Например, файл .docx имеет SHA256-хэш 7f4fcb19ee3426d085eb36f0f27d8fd3d0242d0aa057daa9f4d8a7cd68576045, а размер файла составляет 11 197 байт. Файл представляет собой документ Microsoft Word 2007+ с эксплойтом для CVE-2017-0199.
Для защиты от таких угроз организации должны применять надежные средства защиты электронной почты, такие как проверка вложений на наличие известных сигнатур вредоносных программ и создание "песочницы" для анализа поведения вложений. Необходимо также отслеживать сетевой трафик для выявления подозрительных действий. Для отслеживания известных IOC, таких как хэши SHA256 и URL-адреса, связанные с деятельностью thisloader, следует использовать платформы анализа угроз. Кроме того, для обнаружения попыток эксплуатации известных уязвимостей, таких как CVE-2017-0199 и CVE-2017-011882, необходимо применять меры по обнаружению эксплойтов.
Зная о новейших технологиях и IOC, организации могут лучше защитить свои системы и данные от таких угроз. Внедрение надежных мер безопасности и использование платформ анализа угроз поможет обнаруживать и блокировать вредоносные электронные письма, контролировать сетевой трафик и выявлять попытки использования известных уязвимостей. Это поможет организациям опередить злоумышленников и обеспечить сохранность своих данных.
Found an issue in the description? Have something to add? Feel free to write us 👾
Related Identifiers
Affected Products
Undefined