14:11
11/10/2018

Czytasz wpis z sekcji “Aktywne Ataki“, w której umieszczamy otrzymywane od Czytelników sygnały o obecnie trwających złośliwych atakach wymierzonych w Polaków. Sekcja ta nie jest dostępna na głównej stronie Niebezpiecznika, a jedynie w sidebarze, po prawej stronie serwisu. Publikujemy w niej informacje tylko o tych atakach, które są masowe (tzn. otrzymaliśmy je od co najmniej kilku Czytelników). Informacje prezentujemy skrótowo, przede wszystkim po to, aby administratorzy mogli na ich podstawie jak najszybciej zabezpieczyć swoje sieci przed danym atakiem. Dlatego też nie analizujemy ewentualnych próbek złośliwego oprogramowania, choć nie wykluczamy, że dla ciekawych kampanii taką analizę przeprowadzimy i w późniejszym terminie opublikujemy jej wyniki w formie dedykowanego artykułu, który pojawi się na głównej stronie Niebezpiecznika.

TYP ATAKU

[M]alware
[S]pam

ZAWARTOŚĆ

W czerwcu informowaliśmy Was o incydencie, w którym ktoś korzystając z danych dostępowych jednego z agentów Ergo Hestii za pomocą jej serwerów pocztowych próbował rozsyłać złośliwe oprogramowanie. Wygląda na to, że po trzech miesiącach ktoś powtarza ten atak. Tym razem jednak złośliwa wiadomość jest rozsyłana nie z prawdziwych serwerów Hestii, a przez serwery nazwa.pl.

Received: from yggikguugou (unknown [185.106.120.47])
by agromundwf.nazwa.pl (Postfix) with ESMTP id F1D2A23815C
for; Thu, 11 Oct 2018 04:16:09 +0200 (CEST)

W e-mailu znajduje się załącznik, rozpoznawany jako złośliwy:

MD5 (faktura_111018_0077975.rar) = ecad8e40cd9ba69fdbd807f725fe9e13
MD5 (faktura_111018_0077975.vbs) = b70187fc9c3c36674725d4527a34aef8

łączy się pod adres 162.255.119.157:

http://ppservice.stream/blank.php?fix=538742&&opt=45122231113&faps

PS. Ponieważ, jak to często bywa, w tej kampanii mogą być wysyłane także inne wariacje powyższej wiadomości (inne linki, inne adresy nadawców, inne tytuły wiadomości), prosimy Czytelników o pozostawianie dalszych IOC w komentarzach pod tym tekstem. To ułatwi innym bezpiecznikom blokowanie niechcianych treści.

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Co to IOC?

    • Indicator of compromise

    • Indicator of compromise – czyli źródło ataku. Agresor może wysyłać swoje wiadomości przykładowo z dziesięciu adresów mailowych, mieć pięć różnych tytułów i cztery załączniki. Ważne jest, żeby szybko znaleźć wszystkie wariacje aby ułatwić pracę adminom :-)

    • Za wikipedią:
      IOC – skrót angielskiej nazwy Międzynarodowego Komitetu Olimpijskiego (International Olympic Committee)
      IOC – skrót angielskiej nazwy Międzynarodowego Komitetu Ornitologicznego (International Ornithological Committee)
      IOC – skrót angielskiej nazwy Międzynarodowego Kongresu Ornitologicznego (International Ornithological Congress)
      IOC – skrót angielskiej nazwy Międzynarodowej Komisji Oceanograficznej (Intergovernmental Oceanographic Commission)

      czyli dalej nie wiemy, co to IOC

  2. Sender address
    annaszmyd@agromund.com.pl
    by agromundwf.nazwa.pl (Postfix) with ESMTP id 3B26F8459F
    From: Joanna Terelak

    Delete message. Malware: Malicious Payload File: faktura_111018_0077975.rar

  3. by server.elblag.eu (Postfix) with ESMTPSA id EF05C404540
    Reply-To: Joanna Terelak
    Organization: STU Ergo Hestia S. A.
    Delete message. Malware: Malicious Payload File: faktura_121018_8780003.rar

    Tresc: “Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.”

  4. Joanna Terelak

    Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.

  5. Od: Joanna Terelak

    Do:
    mnie

    Temat:
    Informacja o rozdysponowaniu wplaty

    Szanowny Kliencie,
    w zalaczeniu przesylamy korespondencje w sprawie przyslugujacego zwrotu nadwyzki.

    W zwiazku z tym zwracamy sie z prosba o zlozenie dyspozycji okreslajacej forme wyplaty umozliwiajacej jej zwrot.

    Najszybsza forma realizacji zwrotu jest przelew bankowy, wiec zachecamy do wskazania numeru rachunku bankowego, na ktory zostanie zrealizowany przelew.

    Dyspozycje mozna zlozyc droga telefoniczna kontaktujac sie z Infolinia Ergo Hestia (dostepna cala dobe pod numerem telefonu 801 107 107).

    Z powazaniem

    Joanna Terelak
    STU Ergo Hestia S. A.

    W dniu dzisiejszym :/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.