Хакеры атаковали госорганы и рассылают украинцам письма из сломанных ящиков
Источник:
CERT-UAПравительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала новую кибератаку направленную на государственные органы. Хакеры сломали ящики госучреждений и рассылают с их помощью электронные письма, содержащие опасный документ.
Что известно о новой хакерской атаке
Из скомпрометированных электронных ящиков госорганов хакеры рассылают электронные письма с опасным содержимым. Характерной особенностью таких писем является тема "Объединенный официальный отчет о гуманитарной ситуации. Украина".
Не пропустите Хакеры взломали сайт Белгородской клиники лечения алкоголизма и разместили там путина
Внутри электронного сообщения прикреплен файл под названием "Гуманитарная катастрофа Украины с 24 февраля 2022 года" с расширением XLS. Следует отметить, что такое расширение имеют документы-таблицы Microsoft Excel.
Какой вред может нанести опасный файл
В этом документе содержатся макросы, которые приводят к запуску файла baseupd.exe. Это, в свою очередь, ведет к заражению компьютера вирусом Cobalt Strike Beacon.
Cobalt Strike – это коммерческий инструмент, созданный для пентестеров и red team (специалисты, занимающиеся оценкой защищенности компьютерных систем) и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, эта программа давно используется хакерами для атак. Следует заметить, что Cobalt Strike не доступен обычным мелким хакерам, обычно им пользуются правительственные APT-группировки (подразделения хакеров, создающих постоянную серьезную угрозу противнику или цели).
Цена за установку Cobalt Strike составляет 3 500 долларов.
Как уберечься от кибератаки
Если вы заметили на своем почтовом ящике письмо с темой и названием файла указанным выше – ни в коем случае не загружайте и не открывайте этот документ. Лучше всего немедленно удалить его из ящика, чтобы не наткнуться на него еще раз ошибочно.
Также CERT-UA настоятельно рекомендует госучреждениям ввести использование многофакторной аутентификации для электронной почты.
Читайте на сайте Оккупанты сломали телеканал "Дом" и там раздавался гимн России: уже отреагировали власти и СБУ
Кто стоит за хакерской атакой
В CERT-UA отмечают, что, основываясь на использованных тактиках, хакерскую атаку связывают с группировкой UAC-0056.
Сообщается, что специалисты ведомства принимают меры по установлению обстоятельств компрометации учетных записей электронной почты, а также блокировку сервера управления вредоносной программой.
Кто такой UAC-0056?
Это хакерская группа, наиболее широко известная, как UNC2589 (Mandiant) и TA471 (Proofpoint). Считается, что именно эти хакеры причастны к действиям WhisperGate в начале января 2022 года.Речь идет о кибератаке на государственные учреждения Украины, которая предусматривала уничтожение данных. Согласно анализу, хакеры потенциально могли создавать инфраструктуру для кампаний GrimPlant и GraphSteel, начиная с декабря 2021 года.