<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><font face="SFNS Display">Само в дальнейшем оно распространялось

        через другие дыры в винде, включая какое-то говно на 139/445

        портах.</font></p>

    <p><font face="SFNS Display">Насчёт "нужно багом считать" - хуяссе

        баг: "</font>Along with the EDRPOU numbers, the backdoor

      collects proxy and email settings, including usernames and

      passwords, from the M.E.Doc application. [ ... ] the backdoored

      code sends the collected information in cookies." - там паходу

      ломанули еще и Web-cервер, который принимал в куках собранную

      информацию.<br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 7/4/17 4:26 PM, Mike Petrusha wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:CABXq9qAhui4twLGESAjd_ULifpAbLvp0PL-de5fZgQC8MQu_mw@mail.gmail.com">

      <pre wrap="">Может это нужно багом считать в таком случае?

Хотели конкретным жертвам диски зашифровать, но где-то промахнулись?

Но ведь оно всё равно распространяется само в дальнейшем... Непонятно.

--

Mike

On 4 July 2017 at 15:14, Volodymyr Litovka <a class="moz-txt-link-rfc2396E" href="mailto:doka.ua@gmail.com"><doka.ua@gmail.com></a> wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">

On 7/4/17 2:53 PM, Mike Petrusha wrote:

Но зачем вся эта шпионская история с коллекционированием ЄДРПОУ?

Each organization that does business in Ukraine has a unique legal entity

identifier called the EDRPOU number. This is extremely important for the

attackers: having the EDRPOU number, they could identify the exact

organization that is now using the backdoored M.E.Doc. Once such an

organization is identified, attackers could then use various tactics against

the computer network of the organization, depending on the attackers’

goal(s). [ ... ] And, of course, the attackers added the ability to control

the infected machine.

--

Volodymyr Litovka

  "Vision without Execution is Hallucination." -- Thomas Edison

</pre>

      </blockquote>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Volodymyr Litovka

  "Vision without Execution is Hallucination." -- Thomas Edison

</pre>

  </body>

</html>