Урядова команда реагування на комп’ютерні надзвичайні події при Держспецзв’язку України CERT-UA виявила поширення електронних листів нібито від імені державних органів України із закликами завантажити оновлення для підвищення безпеки ПК. У тілі листа містилося посилання на веб-сайт hxxps://forkscenter[.]fr/, з якого пропонувалося завантажити критичні оновлення у вигляді файлу “BitdefenderWindowsUpdatePackage.exe” розміром близько 60МБ. Цей файл запускав завантажувач “alt.exe”, що встановлює низку файлів, серед яких була шкідлива програма.
“У рамках дослідження визначено, що запуск завантаженого файлу one.exe призведе до ураження комп’ютера шкідливою програмою Cobalt Strike Beacon. Якщо ви отримували або відкривали зазначений лист, негайно повідомите на пошту [email protected]”, — сказано в публікації.
Українські фахівці з кібербезпеки “із середнім рівнем впевненості” асоціювали виявлену активність із діяльністю групи UAC-0056, яка також відома під назвою Lorec53. Близько місяця тому ця ж група влаштувала кібернапад на державні організації України з використанням шкідливих програм SaintBot та OutSteel.
Група Lorec53 активна у Східній Європі і є новим типом постійної серйозної загрози (APT), вперше ідентифікованої NSFOCUS Security Labs. Компанія виявила, що трояни-шпигуни групи вперше з’явилися в 2020 році, а на початку 2021 року почали проводитися масштабні кібершпигунські атаки проти України та Грузії. Цілі кібератак цієї групи тісно пов’язані з національними інтересами рф.