Хакеры атаковали госорганы и рассылают украинцам письма из сломанных ящиков

Михаил Года

Источник:

CERT-UA

Иллюстративное фото / Unsplash

Правительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала новую кибератаку направленную на государственные органы. Хакеры сломали ящики госучреждений и рассылают с их помощью электронные письма, содержащие опасный документ.

Что известно о новой хакерской атаке

Из скомпрометированных электронных ящиков госорганов хакеры рассылают электронные письма с опасным содержимым. Характерной особенностью таких писем является тема "Объединенный официальный отчет о гуманитарной ситуации. Украина".

Не пропустите Хакеры взломали сайт Белгородской клиники лечения алкоголизма и разместили там путина

Внутри электронного сообщения прикреплен файл под названием "Гуманитарная катастрофа Украины с 24 февраля 2022 года" с расширением XLS. Следует отметить, что такое расширение имеют документы-таблицы Microsoft Excel.

Какой вред может нанести опасный файл

В этом документе содержатся макросы, которые приводят к запуску файла baseupd.exe. Это, в свою очередь, ведет к заражению компьютера вирусом Cobalt Strike Beacon.

Cobalt Strike – это коммерческий инструмент, созданный для пентестеров и red team (специалисты, занимающиеся оценкой защищенности компьютерных систем) и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, эта программа давно используется хакерами для атак. Следует заметить, что Cobalt Strike не доступен обычным мелким хакерам, обычно им пользуются правительственные APT-группировки (подразделения хакеров, создающих постоянную серьезную угрозу противнику или цели).

Цена за установку Cobalt Strike составляет 3 500 долларов.

Как уберечься от кибератаки

Если вы заметили на своем почтовом ящике письмо с темой и названием файла указанным выше – ни в коем случае не загружайте и не открывайте этот документ. Лучше всего немедленно удалить его из ящика, чтобы не наткнуться на него еще раз ошибочно.

Также CERT-UA настоятельно рекомендует госучреждениям ввести использование многофакторной аутентификации для электронной почты.

Читайте на сайте Оккупанты сломали телеканал "Дом" и там раздавался гимн России: уже отреагировали власти и СБУ

Кто стоит за хакерской атакой

В CERT-UA отмечают, что, основываясь на использованных тактиках, хакерскую атаку связывают с группировкой UAC-0056.

Сообщается, что специалисты ведомства принимают меры по установлению обстоятельств компрометации учетных записей электронной почты, а также блокировку сервера управления вредоносной программой.

Кто такой UAC-0056?

Это хакерская группа, наиболее широко известная, как UNC2589 (Mandiant) и TA471 (Proofpoint). Считается, что именно эти хакеры причастны к действиям WhisperGate в начале января 2022 года.

Речь идет о кибератаке на государственные учреждения Украины, которая предусматривала уничтожение данных. Согласно анализу, хакеры потенциально могли создавать инфраструктуру для кампаний GrimPlant и GraphSteel, начиная с декабря 2021 года.