Хакери атакують українські державні органи та підприємства оборонно-промислового комплексу фішинговими листами, які маскують під офіційні документи, зокрема, “судові повістки”.
Серію цілеспрямованих атак зафіксувала національна команда реагування на кіберінциденти CERT-UA, повідомляється на сайті Держспецзв’язку.
За даними фахівців, за кібератаками стоїть угруповання UAC-0099, яке використовує три нові шкідливі програми:
- Matchboil – завантажувач, що ідентифікує комп’ютер і встановлює в ньому шкідливе ПЗ;
- Matchwok – бекдор, який дозволяє віддалено виконувати команди;
- Dragstare – викрадач даних, що збирає інформацію про систему, облікові дані браузерів і документи користувача.
У фішингових листах міститься посилання на файлообмінник. Перехід за ним запускає завантаження архіву, який містить шкідливий HTA-файл.
Після відкриття файлу запускається скрипт, що створює на комп’ютері жертви додаткові файли. Далі атакувальники отримують доступ до системи, крадуть дані або можуть повністю контролювати комп’ютер.
Основними цілями атак залишаються органи державної влади, Сили оборони та підприємства, що працюють на оборону.
CERT-UA радить уважно перевіряти вхідні листи та навчати співробітників виявляти фішинг; обмежити виконання HTA-, VBS- та PowerShell-скриптів; впровадити моніторинг кінцевих точок і контроль над запланованими завданнями; оновлювати системи безпеки й використовувати сучасні інструменти захисту мережі.
Як повідомляв ІМІ, хакерів групи UAC-0099 вже неодноразово атакувала українські державні організації. Урядова команди реагування на комп’ютерні надзвичайні події України CERT-UA відстежує її автивність з другої половини 2022 року і дотепер.
