Вікторія Горбік Таке життя 2 лютого 2022, 13:00

Кіберцентр повідомляє, що хакери розсилали листи від імені АМПУ про захід суден до Криму

На сайті урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA з’явилась інформація про кібератаку групи UAC-0010 (Armageddon).

Залишити коментар

Кіберцентр повідомляє, що хакери розсилали листи від імені АМПУ про захід суден до Криму

На сайті урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA з’явилась інформація про кібератаку групи UAC-0010 (Armageddon).

Урядова команда повідомила, що суб’єкт координації, а саме кіберцентр держприкордонників України, отримав інформацію про розповсюдження вірусних листів. На електронну пошту приходили, начебто від ДП «Адміністрація морських портів України», повідомлення, у вкладенні яких знаходився RAR-архів «порти АРК.rar».

Індикатори компрометації (скрін з сайту CERT-UA)

Всередині архіву були DOCX-документи «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx» і «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx», які містили вбудовану URL-адресу.

Приклад шкідливого електронного листа та вбудованої URL-адреси

DOC-файл з макросом, який завантажувався після відкриття цих документів, уражував комп’ютер шкідливою програмою GammaLoad за допомогою виконання шкідливого VBA-коду.

Приклад програмного коду шкідливої програми GammaLoad

CERT-UA асоціює хакерську атаку з діяльністю групи Armageddon, ідентифікатор якої UAC-0010.

GammaLoad — вірусна шкідлива програма розроблена мовою VB Script, яка ідентифікує комп’ютер (визначення %COMPUTERNAME% і %SYSTEMDRIVE%) і завантажує та запускає додаткові шкідливі програми. Персистентність забезпечується за допомогою запланованого завдання (Scheduled Task).