Правительственная команда реагирования на компьютерные чрезвычайные события при Госспецсвязи Украины CERT-UA выявила распространение электронных писем якобы от имени государственных органов Украины с призывами скачать обновления для повышения безопасности ПК. В теле письма содержалась ссылка на веб-сайт hxxps://forkscenter[.]fr/, с которого предлагалось скачать «критические обновления» в виде файла «BitdefenderWindowsUpdatePackage.exe» размером около 60МБ. Этот файл запускал загрузчик «alt.exe», устанавливающий ряд файлов, среди которых была вредоносная программа.
«В рамках исследования определено, что запуск загруженного файла one.exe приведет к поражению компьютера вредоносной программой Cobalt Strike Beacon. Если вы получали или открывали указанное письмо, немедленно сообщите на почту cert@cert.gov.ua«, — сказано в публикации.
Украинские специалисты по кибербезопасности «со средним уровнем уверенности» ассоциировали выявленную активность с деятельностью группы UAC-0056, которая также известна под названием Lorec53. Около месяца назад эта же группа предприняла попытку кибернападения на государственные организации Украины с использованием вредоносных программ SaintBot и OutSteel.
Группа Lorec53 активная в Восточной Европе и представляет собой новый тип постоянной серьезной угрозы (APT), впервые идентифицированный NSFOCUS Security Labs. Компания обнаружила, что перехватываемые трояны-шпионы группы впервые появились в 2020 году, а в начале 2021 года начали проводиться масштабные кибершпионские атаки против Украины и Грузии. Цели кибератак этой группыи тесно связаны с национальными интересами рф.