Aulas e Trojans na Escola Nacional de Administração Pública


Atualização (15/03):

O Coordenador de Infraestrutura e Governança da Enap entrou em contato com o DefCon-Lab para informar:
“Na manhã do dia 14/03/2019, a equipe técnica da Coordenação-Geral de Tecnologia da Informação da Enap realizou as seguintes atividades para corrigir o problema: o portal em questão (inclusao.enap.gov.br) foi retirado do ar, o conteúdo malicioso removido e a vulnerabilidade corrigida, tendo o portal voltado ao ar na tarde do dia 14/03/2019.”

 

Nosso sistema de Monitoramento Avançado Persistente identificou hospedagem de Trojan na Enap – Escola Nacional de Administração Pública (https://www.enap.gov.br).

O artefato está hospedado na seguinte URL:
hxxps://inclusao.enap.gov.br/wp-content/Intuit/company/RDEB/Operations/ansh-WkZ6p_dFs-qSn/

$ sha256sum REDEBIT____49986.doc

c4909afd2aa7fced77f8be241aba796a5ed039f32cf26b5687356e729b1e09e6

Análise do arquivo no VirusTotal:

https://www.virustotal.com/#/file/c4909afd2aa7fced77f8be241aba796a5ed039f32cf26b5687356e729b1e09e6/detection

A análise comportamental (análise dinâmica) também comprova o comportamento malicioso. Acesso aqui o relatório da Hybrid-Analysis.