Хакеры атакуют украинские госорганы фишинговыми письмами под видом судебных повесток

Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA обнаружила и исследовала новую серию целенаправленных кибератак на органы государственной власти Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонно-промышленного комплекса, в виде рассылок фишинговых писем, замаскированных под судебные повестки, сообщается на сайте Государственной службы специальной связи и защиты информации Украины во вторник.

"Атаки осуществляет группировка UAC-0099, которая существенно обновила свой инструментарий и начала использовать новые вредоносные программы Matchboil, Matchwok и Dragstare. Злоумышленники применяют многоэтапную цепь поражения, направленную на похищение данных и получение удаленного контроля над системами. Атака начинается с рассылки фишинговых электронных писем, которые часто маскируются под официальные документы, например "судебные повестки", - говорится в сообщении.

По данным ведомства, письма содержат ссылки на легитимный файлообменный сервис. Переход по ним инициирует загрузку ZIP-архива, который содержит вредоносный HTA-файл. Это начало многоэтапной атаки. Выполнение HTA-файла запускает VBScript-код. Этот скрипт создает на компьютере жертвы два файла: один с HEX-кодированными данными, другой - с PowerShell-кодом, а для выполнения этого кода создается запланированное задание. Следующий шаг - PowerShell-скрипт декодирует данные и формирует из них исполняемый файл лоадера Matchboil, который закрепляется в системе через собственное запланированное задание.

"Основными целями группировки являются органы государственной власти Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонно-промышленного комплекса. Исследование CERT-UA выявило три новых образца вредоносного программного обеспечения, что свидетельствует об эволюции тактик, техник и процедур группировки", - говорится в сообщении.

В CERT-UA рекомендуют для противодействия описанной угрозе усиливать контроль над входящей корреспонденцией, учить сотрудников идентифицировать фишинговые письма и с осторожностью относиться к письмам со ссылками на загрузку архивов. Также рекомендуется ограничить выполнение скриптов, внедрять мониторинг конечных точек (EDR), обеспечить защиту сетевого периметра с применением современных систем обнаружения вторжений (IDS/IPS), а также поддерживать актуальность программного обеспечения.