Національна команда CERT-UA, що займається реагуванням на кіберінциденти, виявила нову хвилю цілеспрямованих атак проти органів державної влади, структур Сил оборони та підприємств оборонно-промислового комплексу. Як повідомляє Держспецзв’язку, зловмисники здійснюють фішингові розсилки, маскуючи їх під офіційні документи, зокрема під “судові повістки”.
“Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми Matchboil, Matchwok та Dragstare. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами. Атака починається з розсилання фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, “судові повістки””, — йдеться у повідомленні Держспецзв’язку.
Листи містять посилання на легальний файлообмінник, за яким користувач завантажує ZIP-архів зі шкідливим HTA-файлом. Далі запускається VBScript, який створює два файли: один із закодованими даними, інший із PowerShell-кодом. Потім запускається завдання, яке декодує дані та формує виконуваний файл Matchboil, що закріплюється в системі.
“Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу. Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик, технік та процедур угруповання”, — підкреслюється в повідомленні.
Фахівці CERT-UA радять посилити захист від подібних загроз: контролювати вхідну електронну пошту, навчати персонал розпізнавати фішинг, обмежити виконання скриптів, використовувати сучасні засоби моніторингу (EDR) та виявлення загроз (IDS/IPS), а також регулярно оновлювати ПЗ.
