Нацбанк попереджує про можливість чергової кібератаки, на цей раз через вразливість у Microsoft Word

Департамент безпеки Національного банку України попереджає про появу та розповсюдження зловмисного коду, який розповсюджується шляхом розсилки листів електронної пошти із зловмисним кодом, замаскованого під документ Microsoft Word. При цьому антивірусне програмне забезпечення жодного виробника, станом на 10.08.2017, не визначало цей документ, як той, що містить зловмисний код. 

Зазначений зловмисний код використовує малопоширену вразливість програмного забезпечення Microsoft Word CVE-2015-2545, що дозволяє виконати довільний код на цільовому комп’ютері та фактично отримати повний контроль над комп’ютером. 

Зазначений зловмисний код має наступні особливості та індикатори компрометації системи: 

• документ Microsoft Word з интегрованим файлом *.eps 
• запуск процесу FLTLDR.EXE %COMMONPROGRAMFILES%\Microsoft Shared\GRPHFLT\EPSIMP32.FLT при відкриванні такого файлу 
• спроба з’єднання з адресою 137.74.224.142:80 як безпосередньо, так і через проксі-сервер 
• характерна особливість запросу GET /z/get.php?name=< 8ми значний код> 

Характер поводження цього зловмисного коду, масовість його розповсюдження, та той факт, що на момент розповсюдження він не визначався жодним антивірусним програмне забезпечення дає підстави припускати, що ця акція є підготовкою до масованої кібернетичної атаки на корпоративні мережі підприємств України. 

Усунути вказану вразливість Microsoft Word можна шляхом встановлення відповідного патчу від виробника компанії Microsoft. 

Нагадуємо про роботу «гарячої лінії» Департаменту безпеки для інформування щодо виникнення кіберінцидентів, зокрема появи ЗК, телефони: (044)527-31-62, (044)521-87-80, час роботи 8.00 - 22.00, e-mail: cyber@bank.gov.ua.