У поштовому повідомленні OriginalMessage.txt.msg у вкладенні міститься шкідливий файл Prezent_UA_2k_berezen_PRESS.ppsx, який є презентацією з 16 слайдів про соціально-політичну ситуацію в Україні.
Шкідливий файл цікавий тим, що не містить вбудованих шкідливих макросів. Замість цього, зловмисники використовували вразливість CVE-2017-0199, яка дозволяє згенерувати шкідливий PPSX файл і доставити жертві payload без будь-якої складної конфігурації. При експлуатуванні використовується файл slide1.xml.rels. Файли з розширенням .rels є файлами відносин. Ці файли містять інформацію про те, як частини різних документів Microsoft Office поєднуються один з одним. Ця інформація також називається частинами відносин. У випадку з даною шкідливою презентацією в файл slide1.xml.rels була записана адреса: hxxp: //socis.cf/? File = wj5yuxmp.hmf:
За адресою hxxp: //socis.cf/? File = wj5yuxmp.hmf міститься скрипт, який створює шкідливий файл в директорії % temp% і запускає його. На момент аналізу, адреса вже недоступна.
Індикатори компрометації
URLs:
hxxp: //socis.cf/? file = wj5yuxmp.hmf
IP адреси:
185.176.43.94 (Болгарія)
файли:
Prezent_UA_2k_berezen_PRESS.ppsx
MD5: CAFB6B5795C26376289832CFFC3AEE94