• Opgelet: melding i.v.m. Onafhankelijkheidsdag in Oekraïne

Opgelet: melding i.v.m. Onafhankelijkheidsdag in Oekraïne

Clock Geplaatst op donderdag 24 augustus 2017

Beste CYSSEC-partner,

Via onze partner het NCSC hebben wij een bericht ontvangen dat diverse berichtgevingen op internet melding maken van mogelijke digitale aanvallen in Oekraïne op de Onafhankelijkheidsdag van 24 augustus. Dit roept mogelijk vragen op over of deze aanvallen ook gevolgen kunnen hebben voor Nederlandse organisaties. Het NCSC tracht middels deze duiding daar een antwoord op te geven.

Feiten

  •  Op security.nl is een bericht verschenen over een nieuwe digitale aanval waarbij gebruik is gemaakt van de website van de Oekraïense leverancier van de boekhoudkundige software Crystal Finance Millennium.
  •  Op een Oekraïense nieuwswebsite wordt melding gemaakt van digitale aanvallen richting Oekraïense banken en bedrijven, waarbij misbruik gemaakt wordt van een kwetsbaarheid (CVE-2015-2545) in Microsoft Word.
  •  Op nu.nl en reuters.com wordt meldingen gemaakt van een verhoogde kans op digitale aanvallen op de Onafhankelijkheidsdag.

Duiding

  •  De aanvallen via Crystal Finance Millennium en de kwetsbaarheid in Microsoft Word hebben mogelijk verband met de Oekraïense Onafhankelijkheidsdag.
  •  Het NCSC heeft geen aanwijzingen gevonden dat de ‘Crystal Finance Millennium’ software in Nederland gebruikt wordt.
  •  Het NCSC ziet op dit moment geen directe mogelijke gevolgen voor Nederlandse organisaties als gevolg van de digitale aanvallen in Oekraïne.

Voorlopig handelingsperspectief

De infectie lijkt met name via mail plaats te vinden via malicious attachments. .zip, .7zip en .arj- bestanden bevatten een bestand wat kwaadaardige javascript code uitvoert waarmee malware (.exe) wordt gedownload. Wij raden jullie het volgende aan:

  • Blokkeer de volgende domains en IP’s:
    • http[:]//cfm.com[.]ua/awstats/load.exe —> 194.28.172[.]73
    • http[:]//nolovenolivethiiswarinworld[.]com/ico/load.exe —> 47.88.52[.]220
    • http[:]//crystalmind[.]ru/versionmaster/nova/load.exe —> 176.114.0[.]20
    • contsernmayakinternacional[.]ru
    • soyuzinformaciiimexanikiops[.]com
    • kantslerinborisinafrolova[.]ru —> 47.88.52[.]220
  • Zorg ervoor dat de laatste beveiligingsupdates voor Windows en Microsoft Office zijn geïnstalleerd.
  • Zorg dat Antivirus updates worden geïnstalleerd op endpoints. Bij enkele vendoren wordt de malware al geblokkeerd en steeds meer volgen.
  • Wees extra alert voor phishing.

De [.] zijn opgenomen om te voorkomen dat je per ongeluk op een van de links klikt. Deze dien je uiteraard te verwijderen indien je deze wil (laten) blokkeren in je firewall en/of uitgaande proxy server.

Actielijn: Het NCSC houdt de situatie nauwlettend in de gaten.

Arrow leftTerug naar overzicht
Cross icon