Хакери атакують українські держоргани фішинговими листами під виглядом судових повісток
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила та дослідила нову серію цілеспрямованих кібератак на органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу, у вигляді розсилок фішингових листів, замаскованих під судові повістки, повідомляється на сайті Державної служби спеціального зв'язку та захисту інформації України у вівторок.
"Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми Matchboil, Matchwok та Dragstare. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами. Атака починається з розсилання фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, "судові повістки", - йдеться в повідомленні.
За даними відомства, листи містять посилання на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки. Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп'ютері жертви два файли: один з HEX-кодованими даними, інший – з PowerShell-кодом, а для виконання цього коду створюється заплановане завдання. Наступний крок – PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера Matchboil, який закріплюється в системі через власне заплановане завдання.
"Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу. Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик, технік та процедур угруповання", - йдеться в повідомленні.
В Cert-UA рекомендують для протидії описаній загрозі посилювати контроль над вхідною кореспонденцією, вчити співробітників ідентифікувати фішингові листи та з обережністю ставитися до листів із посиланнями на завантаження архівів. Також рекомендується обмежити виконання скриптів, впроваджувати моніторинг кінцевих точок (EDR), забезпечити захист мережевого периметра з застосувань сучасних системи виявлення вторгнень (IDS/IPS), а також підтримувати актуальність програмного забезпечення.