Новини Новини 17.03.2022 о 17:44 comment views icon

Хакери розсилали шахрайські листи, що імітують повідомлення UKR.NET. Вони містили QR-код з посиланням на фішингову веб-сторінку

author avatar
https://itc.ua/wp-content/uploads/2024/03/photo_2023-07-03_19-21-48-1-96x96.jpg *** https://itc.ua/wp-content/uploads/2024/03/photo_2023-07-03_19-21-48-1-96x96.jpg *** https://itc.ua/wp-content/uploads/2024/03/photo_2023-07-03_19-21-48-1-96x96.jpg

Тетяня Нечет

Автор новин

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт поширення електронних листів, що імітують повідомлення від UKR.NET та містять QR-код, у якому закодована «укорочена» URL-адреса, створена за допомогою одного з URL-shortener сервісів. Після переходу на посилання користувач потрапляв на сторінку, що імітує сторінку зміни пароля UKR.NET. Дані, що вводяться користувачем, за допомогою HTTP POST-запиту відправлялися потім на веб-ресурс, розгорнутий зловмисниками на платформі Pipedream.

З низьким рівнем впевненості CERT-UA асоціювала виявлену активність із діяльністю групи UAC-0028 (APT28).

Індикатори компрометації

  • hxxps://tinyurl[.]com/2p8kpb9v
    hxxps: //panelunregistertle-348.frge[.]i/
    hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
    hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
    hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
    панельunregistertle-348.frge [.] я
    eo9p1d2bfmioiot.m.pipedream[.]net
    eoiw8lhjwuc3sh2.m.pipedream[.]net
    фрге [.] я (2021-04-21)
    pipedream[.]net (легітимний ресурс)

Нагадаємо, що хакерське угруповання APT28 також відоме як Strontium, Sofacy і Fancy Bear. Його пов’язують із російським ГРУ. 9 березня група аналізу загроз Google (TAG) повідомила, що ці кіберзлочинці провели кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилалися з великої кількості зламаних облікових записів. Вони містили посилання на домени, контрольовані зловмисниками. У тому числі і Blogspot. Звідти користувачі перенаправлялися на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot хакерів вже видалено.

У хакерських атаках на низку польських та українських урядових та військових організацій, компаній також брали участь білоруська група кіберзловмисників Ghostwriter/UNC1151 та китайська Mustang Panda/Temp.Hex.

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: