Национальная команда CERT-UA, занимающаяся реагированием на киберинциденты, обнаружила новую волну целенаправленных атак против органов государственной власти, структур сил обороны и предприятий оборонно-промышленного комплекса. Как сообщает Госспецсвязи, злоумышленники осуществляют фишинговые рассылки, маскируя их под официальные документы, в том числе под «судебные повестки».
«Атаки осуществляет группировку UAC-0099, которая существенно обновила свой инструментарий и начала использовать новые вредоносные программы Matchboil, Matchwok и Dragstare. Злоумышленники применяют многоэтапную цепь поражения, направленную на похищение данных и получение удаленного контроля над системами. Атака начинается с рассылки официальные документы, например, «судебные повестки»», — говорится в сообщении Госспецсвязи.
Письма содержат ссылку на легальный файлообменник, по которому пользователь загружает ZIP-архив с вредоносным HTA-файлом. Далее запускается VBScript, создающий два файла: один с закодированными данными, другой с PowerShell-кодом. Затем запускается задание, которое декодирует данные и формирует закрепляемый в системе исполняемый файл Matchboil.
«Основными целями группировки являются органы государственной власти Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонно-промышленного комплекса. Исследование CERT-UA выявило три новых образца вредоносного программного обеспечения, что свидетельствует об эволюции тактик, техник и процедур группировки», – подчеркивается в сообщении.
Специалисты CERT-UA советуют усилить защиту от подобных угроз: контролировать входящую электронную почту, обучать персонал распознавать фишинг, ограничить выполнение скриптов, использовать современные средства мониторинга (EDR) и выявление угроз (IDS/IPS), а также регулярно обновлять ПО.
