Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про нову кібератаку на державні органи України. Цього разу вона здійснюється за допомогою розсилання електронних листів із темою “Указ Президента України No 576/22 про безпрецедентні заходи безпеки” та вкладенням у вигляді ISO-файлу “Указ Президента України No 151 про безпрецедентні заходи безпеки.iso”.
Фахівці встановили, що згаданий ISO-файл містить документ-приманку “a.docx”, LNK-файл “УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk”, PowerShell-скрипт “z.ps1” та EXE-файл “b.exe”. У випадку запуску LNK-файлу, останній виконає PowerShell-скрипт, який, своєю чергою, відкриє DOCX-файл та здійснить виконання файлу “b.exe”. В результаті, комп’ютер вражає шкідлива програма Meterpreter.
Виходячи з результатів дослідження, активність асоційовано із хакерами UAC-0098, які нещодавно вже здійснювали кібератаки на державні організації України. Зокрема, розповсюджували небезпечні електронні листи з темою щодо маріупольської Азовсталі. Крім того, існують підстави вважати, що згадана активність має відношення до діяльності групи TrickBot.
За останні декілька днів це друга така кібератака — днями кіберзловмисники спекулювали на темі COVID-19, а розсилання електронних листів зі шкідливим вкладенням здійснювалося зі скомпрометованого облікового запису співробітника державного органу України.