Хакери атакували держоргани та розсилають українцям листи зі зламаних скриньок

Михайло Года

Джерело:

CERT-UA

Ілюстративне фото / Unsplash

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA зафіксувала нову кібератаку, спрямовану на державні органи. Хакери зламали скриньки держустанов та розсилають за їх допомогою електронні листи, які містять небезпечний документ.

Що відомо про нову хакерську атаку

Зі скомпрометованих електронних скриньок держорганів хакери розсилають електронні листи з небезпечним вмістом. Характерною ознакою таких листів є тема "Об'єднаний офіційний звіт про гуманітарну ситуацію. Україна".

Не пропустіть Хакери зламали сайт Бєлгородської клініки лікування алкоголізму та розмістили там Путіна

Всередині електронного повідомлення прикріплено файл під назвою "Гуманітарна катастрофа України з 24 лютого 2022" з розширенням XLS. Варто зазначити, що таке розширення мають документи-таблиці Microsoft Excel.

Якої шкоди може нанести небезпечний файл

У цьому документі містяться макроси, які призводить до запуску файлу baseupd.exe. Це своєю чергою веде до зараження комп'ютера вірусом Cobalt Strike Beacon.

Cobalt Strike – це комерційний інструмент, створений для пентестерів та red team (фахівці, які займаються оцінкою захищеності комп'ютерних систем) та орієнтований на експлуатацію та постексплуатацію. На жаль, ця програма доволі давно використовується хакерами для атак. Варто зауважити, що Cobalt Strike не доступний звичайним дрібним хакерам, зазвичай ним користуються урядові APT-угруповання (підрозділи хакерів, що створюють постійну серйозну загрозу для противника чи цілі).

Ціна за встановлення Cobalt Strike сягає 3500 доларів.

Як вберегтися від кібератаки

Якщо ви помітили на своїй поштовій скрині лист з темою та назвою файла зазначеною вище – у жодному разі не завантажуйте та не відкривайте цей документ. Найкраще негайно видалити його зі скриньки, щоб не натрапити на нього ще раз помилково.

Також CERT-UA наполегливо радить держустановам запровадити використання багатофакторної автентифікації для електронної пошти.

Читайте на сайті Окупанти зламали телеканал "Дом" і там лунав гімн Росії: вже відреагувала влада та СБУ

Хто стоїть за хакерською атакою

У CERT-UA, ґрунтуючись на використаних тактиках, хакерську атаку пов'язують з угрупованням UAC-0056.

Повідомляється, що фахівці відомства вживають заходів щодо встановлення обставин компрометації облікових записів електронної пошти, а також блокування сервера управління шкідливою програмою.

Хто такі UAC-0056?

Це хакерська група, яка широко відома як UNC2589 (Mandiant) та TA471 (Proofpoint). Вважається, що саме ці хакери причетні до дій WhisperGate на початку січня 2022 року.

Мовиться про кібератаку на державні установи України, яка передбачала знищення даних. Відповідно до аналізу, хакери потенційно могли створювати інфраструктуру для кампанії GrimPlant та GraphSteel, починаючи з грудня 2021 року.