Національна команда CERT-UA виявила нові цілеспрямовані кібератаки на державні установи та підприємства оборонного сектору.
Пресслужба Держспецзв'язку повідомила про це.
Загрози походять від групи UAC-0099, що модернізувала свій інструментарій і почала використовувати нові шкідливі програми MATCHBOIL, MATCHWOK та DRAGSTARE. Атакуючі застосовують складний підхід, спрямований на викрадення інформації та отримання контролю над системами.
Атака зазвичай починається з розсилки фішингових листів, які маскуються під офіційні документи, такі як "судові повістки". Листи містять посилання на легітимний файлообмінний сервіс, перехід по якому запускає завантаження ZIP-архіву з шкідливим HTA-файлом.
Запуск HTA-файлу активує VBScript, що створює на комп'ютері жертви два файли: один з HEX-кодом, другий – з PowerShell-кодом. Для виконання цього коду створюється заплановане завдання. Далі PowerShell-скрипт декодує дані та формує виконуваний файл MATCHBOIL, який вбудовується в систему через заплановане завдання.
Основними мішенями є органи влади України, підрозділи Сил оборони та підприємства оборонного комплексу.
Дослідження CERT-UA виявило три нові зразки шкідливого ПЗ, що свідчить про еволюцію тактик угруповання.
MATCHBOIL (Завантажувач) відповідає за доставку основного шкідливого навантаження на уражений комп'ютер, збираючи інформацію про систему для ідентифікації жертви.
MATCHWOK (Бекдор) дозволяє зловмисникам виконувати команди PowerShell на зараженій системі, перевіряючи наявність аналітичних інструментів.
DRAGSTARE (Викрадач) здійснює збір даних, включаючи системну інформацію та дані браузерів.
Рекомендації CERT-UA:
- Підвищуйте обережність при обробці вхідної кореспонденції.
- Обмежте виконання скриптів.
- Впроваджуйте моніторинг кінцевих точок.
- Забезпечте захист мережевого периметра.
- Регулярно оновлюйте програмне забезпечення.
