Новости Новости 30.03.2022 в 09:33 comment views icon

Хакеры в очередной раз атаковали госорганы Украины — на почту рассылались файлы с вирусами GraphSteel и GrimPlant

author avatar
https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/b303a3ef67b301f02882656cb7a9184b?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Тетяна Нечет

Автор новостей

Вражеские киберпреступники продолжают попытки нанести ущерб украинской информационной инфраструктуре или собрать важную информацию. Правительственная команда реагирования на чрезвычайные события Украины CERT-UA при Госспецсвязи зафиксировала распространение вредоносных электронных писем.

Они рассылались на почтовые ящики госорганам и в теме была указана «Задолженность по зарплате», в приложении была таблица «Задолженность по зарплате.xls». Она содержала легитимные статистические данные и макрос. Но в этот документ в виде вложения были добавлены кодированные данные, которые после активации декодировал макрос и создавал EXE-файл «Base-Update.exe» на компьютере жертвы и запускал его. Затем этот файл загружал и запускал другой загрузчик, а уже тот обеспечивал последующие загрузку и запуск на компьютере сразу двух вредоносных программ: GraphSteel и GrimPlant.

«Обнаруженная активность ассоциирована с деятельностью группы UAC-0056. В случае обнаружения указанного сообщения просим не открывать файлы и немедленно сообщить об этом на почту [email protected]», — сказано в публикации Госспецсвязи.

Группа UAC-0056 также известна как Lorec53. Именно эти хакеры, предположительно, стояла за нападениями на на государственные организации Украины с использованием вредоносных программ SaintBot и OutSteel 2 февраля, а также Cobalt Strike Beacon, GrimPlant и GraphSteel 11 марта.

Ранее в Госспецсвязи сообщили, что хакеры распространяют архивы с вирусом PseudoSteel через почту. Украинцами приходят электронные файлы «ІнформаціящодовтратвійськовослужбовцівЗС_України.docx.exe» и «Втрати-1001.docx», в которых содержится сжатый файл «googleupdate.exe». Вирус при попадании в систему начинает поиск текстовых и архивных файлов с разрешениями *.txt, *.doc, *.docx, *.pdf, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.rtf, *.zip, *.rar, *.7z. Затем он выгружает их на внешний FTP-сервер, откуда информация уже становится доступной хакерам.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: