Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила та дослідила нову серію цілеспрямованих кібератак на державні органи та підприємства оборонно-промислового комплексу.
За даними Держспецзв'язку, атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами.
"Атака починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, "судові повістки". Листи містять посилання (іноді скорочене) на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки", - пояснили фахівці.
Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп'ютері жертви два файли: один з HEX-кодованими даними, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний крок – PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера MATCHBOIL, який закріплюється в системі через власне заплановане завдання.
Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу.
