Харківське видання GWARA MEDIA отримало підозрілого листа нібито від СБУ

Харківське видання GWARA MEDIA отримало листа, у якому нібито співробітник СБУ просив зареєструвати запит на надання інформації і надати письмову відповідь. До листа був прикріплений архів "Документи.zip".

Про це ІМІ повідомив головний редактор медіа Сергій Прокопенко.

Він також зазначив, що офіційно редакція не писала заяву до правоохоронних органів, але сповістила їх про цей факт. 

Водночас факт масового розсилання листів з ідентичним змістом зафіксувала Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, на яку посилається пресслужба Держспецзв'язку. Фахівці CERT-UA зазначають, що такі листи – частина хакерської атаки росіян на оператора мобільного зв'язку "Київстар".

"CERT-UA зафіксували розповсюдження листів за темою "Запит СБУ" та вкладенням у вигляді архіву "Документи.zip". Він містить захищений паролем RAR-архів "Запит.rar" з виконуваним файлом "Запит.exe". Відкриття архіву та запуск файлу, як і в попередньому випадку, призводять до ураження програмою віддаленого доступу RemcosRAT", – йдеться в повідомленні.

Фахівці CERT-UA зазначають, що, крім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477.

Фахівці урядової команди реагування вкотре рекомендують фільтрувати на рівні поштових шлюзів електронні листи з додатками, що захищені паролями (як архіви, так і документи).

Це не перша подібна атака угруповання UAC-0050, зазначають у Держспецзв'язку. Нещодавно кіберзловмисники здійснювали розсилання листів щодо "судових претензій" і "заборгованості". Об’єктом атаки стали користувачі з України та Польщі.