24.1.2020

Aktualizujeme a dáváme do povědomí informace o neustávající aktivitě kampaně cílící na organizace v České republice, kterou jsme popisovali v https://www.govcert.cz/cs/informacni-servis/hrozby/2721-varovani-o-hrozbe-emotet-trickbot-ryuk/.

Vzhledem k aktuálnímu vývoji na poli hrozeb a zranitelností doporučujeme organizacím, které provozují bezpečnostní systémy schopné filtrovat příchozí soubory v rámci webového a e-mailového provozu, aby podnikly kroky k zajištění bezpečnosti systémů, spočívající v blokování souborů archivních typů (především ZIP), pokud tyto archivy obsahují soubor(y) s příponou LNK. Škodlivé soubory LNK jsou v současnosti užívány pro šíření škodlivého kódu, přičemž tento mechanismus užívaly i některé verze Trojanu TrickBot (viz https://isc.sans.edu/diary/25290).

Dalším mechanismem šíření škodlivého kódu jsou sofistikované phishingové e-maily, které se již vyznačují dokonalou češtinou. Často se vyskytujícím příkladem je vyžadování proplacení neuhrazených pohledávek, vyzvednutí zásilky apod. E-mail v takovém případě obsahuje dokument s příponami *.doc, či *.docx, který po otevření vyžaduje spuštění maker či vypnutí chráněného zobrazení dokumentu pomocí tlačítka "Povolit úpravy". Pokud uživatel dokument otevře, je v jeho počítači následně spuštěn škodlivý kód, který se z pohledu běžného uživatele nemusí projevovat neobvyklým chováním počítače.

Mimo jiné se šíření trojanu Trickbot po lokální síti vyznačuje kopírováním názvu existujících souborů do škodlivých souborů s příponou .jse (JScript Encoded File). Příkladem je vytvoření souboru "moje_fotka.jse" z originálního souboru "moje_fotka.jpg". Tyto soubory se mohou nacházet jak na lokálním, tak sdíleném uložišti. Tímto apelujeme na uživatele, aby při nalezení podobných souborů kontaktovali svého správce.

 

Doporučujeme:

- Blokovat archivní typy souborů obsahující přílohy .LNK.
- Být obezřetný při práci s přílohami e-mailů.
- V přílohách nepovolovat spouštění maker či opouštění chráněného režimu.
- Kontrolovat jméno uvedené v e-mailu s e-mailovou adresou odesílatele.
- Při podezření kontaktovat odesílatele e-mailu a ověřit si pravost e-mailu.
- V případě otevření přílohy neprodleně kontaktovat správce IT.
- Při běžné práci s počítačem nevyužívat účet s administrátorskými oprávněními.

Aktualizovaný seznam IoCs:

195.54.162.179

107.172.208.51

107.172.208.52

107.172.251.159

107.172.29.108

107.181.187.221

114.8.133.71

119.252.165.75

121.100.19.18

131.161.253.190

144.217.50.246

146.185.253.147

170.238.117.187

170.84.78.224

171.100.142.238

172.82.152.131

172.82.152.136

180.180.216.177

181.112.157.42

181.113.28.146

181.129.104.139

181.129.134.18

181.140.173.186

181.196.207.202

184.164.137.190

185.14.30.176

186.232.91.240

186.71.150.23

190.214.13.2

194.5.250.62

195.123.245.127

198.23.252.117

198.46.161.213

200.127.121.99

200.21.51.38

202.29.215.114

23.94.70.12

36.89.85.103

46.174.235.36

5.182.210.132

5.2.75.137

64.44.51.106

66.55.71.152

81.112.157.42

81.129.134.18

85.143.220.41