Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нову хвилю кібератак на державні установи країни. Зловмисники маскують шкідливі листи під повідомлення про успішне завершення курсів на популярній освітній платформі Prometheus, намагаючись приховано встановити на комп’ютери жертв шкідливий софт.
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нову хвилю кібератак на державні установи країни. Зловмисники маскують шкідливі листи під повідомлення про успішне завершення курсів на популярній освітній платформі Prometheus, намагаючись приховано встановити на комп’ютери жертв шкідливий софт.
Про це повідомили в Державній службі спеціального зв’язку й захисту інформації України.
Для розсилки фішингових листів хакери з угруповання UAC-0057 використовують уже скомпрометовані облікові записи українських підприємств та організацій. Повідомлення надходять із темою про нібито згенерований сертифікат про навчання.
До листа додається PDF-документ, який імітує сповіщення від платформи Prometheus. Усередині файлу розміщено посилання, натискання на яке завантажує на комп’ютер ZIP-архів, в якому міститься небезпечний JavaScript-файл. Його запуск розпочинає процес інфікування системи.
Фахівці класифікували цей JS-файл як OYSTERFRESH. Його завдання — відобразити документ-приманку та записати в реєстр ОС закодоване шкідливе ПЗ OYSTERBLUES, яке збирає інформацію про комп’ютер (ім’я користувача, версію ОС, запущені процеси тощо) та відправляє її на сервер управління. На фінальному етапі атаки зловмисники можуть завантажити на пристрій компонент фреймворку Cobalt Strike, що дає їм можливість повністю контролювати систему.
За даними спеціалістів, інфраструктура зловмисників прихована за Cloudflare, а більшість доменних імен зареєстрована в зоні .icu. Для захисту від цієї загрози CERT-UA рекомендує системним адміністраторам обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.
Угруповання UAC-0057 (також відоме як UNC1151) є давнім супротивником українських кіберфахівців. Його пов’язують зі спецслужбами Білорусі, які діють у тісній координації з військовою розвідкою росії. Раніше група неодноразово здійснювала шпигунські атаки на український державний та приватний сектори, використовуючи методи соціальної інженерії.
