Правительственная команда реагирования на чрезвычайные события Украины CERT-UA, действующая при Госспецсвязи, предупреждает о новой кибератаке на государственные органы Украины. На этот раз она осуществляется посредством рассылки электронных писем по теме «Указ Президента Украины No 576/22 о беспрецедентных мерах безопасности» и вложении в виде ISO-файла «Указ Президента Украины No 151 о беспрецедентных мерах безопасности.iso».
Специалисты установили, что упомянутый ISO-файл содержит документ-приманку «a.docx», LNK-файл «УКАЗ ПРЕЗИДЕНТА УКРАИНЫ №151_2022.mp4.lnk», PowerShell-скрипт «z.ps1» и EXE-файл «b.exe» . В случае запуска LNK-файла последний выполнит PowerShell-скрипт, который в свою очередь откроет DOCX-файл и выполнит выполнение файла «b.exe». В результате компьютер поражает вредоносная программа Meterpreter.
Исходя из результатов исследования, активность ассоциирована с хакерами UAC-0098, которые недавно осуществляли кибератаки на государственные организации Украины. В частности, распространяли опасные электронные письма с темой по мариупольской Азовстали. Кроме того, существуют основания полагать, что данная активность имеет отношение к деятельности группы TrickBot.
За последние несколько дней это вторая такая кибератака — на днях киберзлоумышленники спекулировали на теме COVID-19, а рассылка электронных писем с вредным вложением осуществлялась по скомпрометированной учетной записи сотрудника государственного органа Украины.