Ворожі кіберзлочинці продовжують спроби завдати шкоди українській інформаційній інфраструктурі або зібрати важливу інформацію. Урядова команда реагування на надзвичайні події України CERT-UA при Держспецзв’язку зафіксувала поширення шкідливих електронних листів.
Вони розсилалися на поштові скриньки держорганам і в темі було зазначено «Заборгованість із зарплати», у додатку була таблиця «Заборгованість із зарплати.xls». Вона містила легітимні статистичні дані та макрос. Але в цей документ як вкладення були додані кодовані дані, які після активації декодував макрос і створював EXE-файл «Base-Update.exe» на комп’ютері жертви і запускав його. Потім цей файл завантажував і запускав інший завантажувач, а той уже забезпечував наступні завантаження і запуск на комп’ютері відразу двох шкідливих програм: GraphSteel і GrimPlant.
«Виявлена активність асоційована із діяльністю групи UAC-0056. У разі виявлення зазначеного повідомлення просимо не відкривати файли та негайно повідомити про це пошту [email protected]», — йдеться у публікації Держспецзв’язку.
Група UAC-0056 також відома як Lorec53. Саме ці хакери, ймовірно, стояли за нападами на державні організації України з використанням шкідливих програм SaintBot та OutSteel 2 лютого, а також Cobalt Strike Beacon, GrimPlant та GraphSteel 11 березня.
Раніше у Держспецзв’язку повідомили, що хакери розповсюджують архіви з вірусом PseudoSteel через пошту. Українцями приходять електронні файли «ІнформаціящодовтратвійськовослужбовцівЗС_України.docx.exe» та «Втрати-1001.docx», в яких міститься стислий файл «googleupdate.exe». Вірус при попаданні в систему починає пошук текстових та архівних файлів з дозволами *.txt, *.doc, *.docx, *.pdf, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, * .rtf, *.zip, *.rar, *.7z. Потім він вивантажує їх на зовнішній FTP-сервер, звідки інформація стає доступною хакерам.