Вражеские киберпреступники продолжают попытки нанести ущерб украинской информационной инфраструктуре или собрать важную информацию. Правительственная команда реагирования на чрезвычайные события Украины CERT-UA при Госспецсвязи зафиксировала распространение вредоносных электронных писем.
Они рассылались на почтовые ящики госорганам и в теме была указана «Задолженность по зарплате», в приложении была таблица «Задолженность по зарплате.xls». Она содержала легитимные статистические данные и макрос. Но в этот документ в виде вложения были добавлены кодированные данные, которые после активации декодировал макрос и создавал EXE-файл «Base-Update.exe» на компьютере жертвы и запускал его. Затем этот файл загружал и запускал другой загрузчик, а уже тот обеспечивал последующие загрузку и запуск на компьютере сразу двух вредоносных программ: GraphSteel и GrimPlant.
«Обнаруженная активность ассоциирована с деятельностью группы UAC-0056. В случае обнаружения указанного сообщения просим не открывать файлы и немедленно сообщить об этом на почту cert@cert.gov.ua», — сказано в публикации Госспецсвязи.
Группа UAC-0056 также известна как Lorec53. Именно эти хакеры, предположительно, стояла за нападениями на на государственные организации Украины с использованием вредоносных программ SaintBot и OutSteel 2 февраля, а также Cobalt Strike Beacon, GrimPlant и GraphSteel 11 марта.
Ранее в Госспецсвязи сообщили, что хакеры распространяют архивы с вирусом PseudoSteel через почту. Украинцами приходят электронные файлы «ІнформаціящодовтратвійськовослужбовцівЗС_України.docx.exe» и «Втрати-1001.docx», в которых содержится сжатый файл «googleupdate.exe». Вирус при попадании в систему начинает поиск текстовых и архивных файлов с разрешениями *.txt, *.doc, *.docx, *.pdf, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.rtf, *.zip, *.rar, *.7z. Затем он выгружает их на внешний FTP-сервер, откуда информация уже становится доступной хакерам.