Рубрики Новости

CERT-UA попереджає про чергову кібератаку на державні органи України

Опубликовал
Вадим Карпусь
02.02.2022 15:22

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє про чергову кібератаку, яка здійснюється на державні організації України. На електронну пошту організацій надсилається лист начебто, від імені ДП «Адміністрація морських портів України». При цьому до повідомлення прикріплено вкладення у вигляді RAR-архіву «порти АРК.rar» зі шкідливими файлами.

Повідомляється, що у складі RAR-архіву міститься два шкідливих документи DOCX:

  • «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx»
  • «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx».

У кожному з цих файлів, своєю чергою, міститься вбудована URL-адреса. У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad. Вона дозволяє зловмисникам проводити ідентифікацію комп’ютера (визначати %COMPUTERNAME% і %SYSTEMDRIVE%). Також GammaLoad проводить подальше завантаження та запуск додаткових шкідливих програм. Зберігання роботи програми забезпечується за допомогою запланованого завдання.

CERT-UA асоціює цю атаку з діяльністю групи Armageddon (ідентифікатор UAC-0010).

Онлайн-курс "Маркетолог" від Laba.
Пройдіть повний шлях розробки маркетингових стратегій на практиці та з фідбеком від CEO бренд-маркетингової агенції.
Програма курсу і реєстрація

Індикатори компрометації

Файли:

9fe8203b06c899d15cb20d2497103dbb порти АРК.rar 
178b0739ac2668910277cbf13f6386e8 Щодо заходження суден під  державним прапором в порти АР Крим на 27.01.2022.docx 
fd4de6bb19fac13487ea72d938999fbd Щодо заходження суден під  іноземним прапором в порти АР Крим на 27.01.2022.docx 
8644a34af1bf278d4cbe28022f77fd69 derg.gif 

Мережеві:

hxxp://surname192.temp.swtest[.]ru/prapor/su/derg.gif 
hxxp://surname192.temp.swtest[.]ru/prapor/su/ino.gif 
hxxp://<IP-адреса>/concession.mot 
surname192.temp.swtest[.]ru 
coagula[.]online 
tortunas[.]ru 
phymateus[.]online 
stopcovid@email[.]cz 

Хостові:

%USERPROFILE%\Downloads\<назва_файлу>.exe

В Україні у ніч із 13 на 14 січня сталася масштабна кібератака на урядові сайти, яка охопила 70 урядових сайтів та стала найпотужнішою за останні чотири роки. Внаслідок кібератаки на урядові сайти з-поміж інших постраждали сервіси МТСБУ, що своєю чергою призвело до призупинення продажу електронних полісів автоцивілки (ОСЦПВ).

Джерело: CERT-UA

Disqus Comments Loading...
Поделитесь в соцсетях
Опубликовал
Вадим Карпусь
Теги ArmageddonCERT-UAБезпекаКибератакиУкраїнські новони
02.02.2022 15:22