Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA выявила и исследовала новую серию целенаправленных кибератак на государственные органы и предприятия оборонно-промышленного комплекса.
По данным Госспецсвязи, атаки осуществляет группировка UAC-0099, которая существенно обновила свой инструментарий и начала использовать новые вредоносные программы. Злоумышленники применяют многоэтапную цепь поражения, направленную на кражу данных и получение удаленного контроля над системами.
"Атака начинается с рассылки фишинговых электронных писем, которые часто маскируются под официальные документы, например, "судебные повестки". Письма содержат ссылки (иногда сокращенные) на легитимный файлообменный сервис. Переход по ней инициирует загрузку ZIP-архива, который содержит вредоносный HTA-файл. Это начало многоэтапной атаки", - объяснили специалисты.
Выполнение HTA-файла запускает VBScript-код. Этот скрипт создает на компьютере жертвы два файла: один с HEX-кодированными данными, другой – с PowerShell-кодом. Для обеспечения выполнения этого кода создается запланированная задача. Следующий шаг – PowerShell-скрипт декодирует данные и формирует из них исполняемый файл лоадера MATCHBOIL, который закрепляется в системе через собственную запланированную задачу.
Основными целями группировки являются органы государственной власти Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонно-промышленного комплекса.