Правительственная команда реагирования на чрезвычайные события Украины CERT-UA сообщает о длительной хакерской атаке, направленной на органы юстиции и нотариата Украины. Она отслеживается с первого квартала 2023 года.
Злоумышленники рассылают по электронной почте сообщения с вложениями в виде BZIP, GZIP, RAR архивов. В них содержатся BAT-файлы, созданные с помощью шифровальщика ScrubCrypt, запуск которых приводит к заражению ПК вредоносной программой AsyncRAT. Это троян удаленного доступа, позволяющий злоумышленникам удаленно контролировать зараженные компьютеры.
При рассылке электронной почты хакеры используют специфические темы и названия файлов. Например: «Письмо отдела по нотариату в Днепропетровской области.rar», «Письмо к сведению и исполнению.cmd», «Письмо МЮУ для уведомления и учета в работе.exe.bzip». Это приводит к выводу, что главные цели злоумышленников – именно украинские органы юстиции и нотариата.
Команда CERT-UA идентифицирует эту вредоносную активность по идентификатору UAC-0173. Отмечается, что она может быть связана с деятельностью UAC-0007 (BlackNotary – так называемые «черные» нотариусы).
Чтобы минимизировать возможное негативное влияние из-за реализации этой угрозы, команда CERT-UA советует ограничить возможность запуска PowerShell для непривилегированных аккаунтов ОС.