Новости

CERT-UA попереджає про чергову кібератаку на державні органи України

CERT-UA попереджає про чергову кібератаку на державні органи України

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє про чергову кібератаку, яка здійснюється на державні організації України. На електронну пошту організацій надсилається лист начебто, від імені ДП «Адміністрація морських портів України». При цьому до повідомлення прикріплено вкладення у вигляді RAR-архіву «порти АРК.rar» зі шкідливими файлами.

Повідомляється, що у складі RAR-архіву міститься два шкідливих документи DOCX:

  • «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx»
  • «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx».

У кожному з цих файлів, своєю чергою, міститься вбудована URL-адреса. У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad. Вона дозволяє зловмисникам проводити ідентифікацію комп’ютера (визначати %COMPUTERNAME% і %SYSTEMDRIVE%). Також GammaLoad проводить подальше завантаження та запуск додаткових шкідливих програм. Зберігання роботи програми забезпечується за допомогою запланованого завдання.

CERT-UA асоціює цю атаку з діяльністю групи Armageddon (ідентифікатор UAC-0010).

Індикатори компрометації

Файли:

9fe8203b06c899d15cb20d2497103dbb	порти АРК.rar 
178b0739ac2668910277cbf13f6386e8	Щодо заходження суден під  державним прапором в порти АР Крим на 27.01.2022.docx 
fd4de6bb19fac13487ea72d938999fbd	Щодо заходження суден під  іноземним прапором в порти АР Крим на 27.01.2022.docx 
8644a34af1bf278d4cbe28022f77fd69	derg.gif 

Мережеві:

hxxp://surname192.temp.swtest[.]ru/prapor/su/derg.gif 
hxxp://surname192.temp.swtest[.]ru/prapor/su/ino.gif 
hxxp://<IP-адреса>/concession.mot 
surname192.temp.swtest[.]ru 
coagula[.]online 
tortunas[.]ru 
phymateus[.]online 
[email protected][.]cz 

Хостові:

%USERPROFILE%\Downloads\<назва_файлу>.exe

В Україні у ніч із 13 на 14 січня сталася масштабна кібератака на урядові сайти, яка охопила 70 урядових сайтів та стала найпотужнішою за останні чотири роки. Внаслідок кібератаки на урядові сайти з-поміж інших постраждали сервіси МТСБУ, що своєю чергою призвело до призупинення продажу електронних полісів автоцивілки (ОСЦПВ).

Джерело: CERT-UA


Завантаження коментарів...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: