Російська хакерська група Gamaredon здійснює фішингові атаки на українські організації, використовуючи приманки, пов’язані з переміщенням військ, для поширення трояна віддаленого доступу Remcos RAT.
Російська хакерська група Gamaredon здійснює фішингові атаки на українські організації, використовуючи приманки, пов’язані з переміщенням військ, для поширення трояна віддаленого доступу Remcos RAT.
Дослідники Cisco Talos виявили, що зловмисники розсилають ZIP-архіви з файлами LNK, замаскованими під документи Microsoft Office, які при відкритті запускають PowerShell-скрипти для завантаження шкідливого ПЗ з серверів у росії та Німеччині.
Спочатку хакери використовують LNK-файли, що містять PowerShell-код для завантаження та виконання наступних етапів атаки. Другий етап передбачає завантаження ZIP-архіву зі шкідливою DLL-бібліотекою, яка через техніку DLL side-loading запускає Remcos RAT, який дає хакерам віддалений доступ до інфікованих систем.
| Назви інфікованих файлів |
| 3079807576 (Шашило О.В)/ШАШИЛО Олександр Віталійович.docx.lnk |
|
3151721177 (Рибак С. В)/РИБАК Станіслав Вікторович.docx.lnk |
|
3407607951 (Жолоб В.В)/ЖОЛОБ Владислав Вікторович.docx.lnk |
|
3710407173 (Гур'єв П.А)/ГУР'ЄВ Павло Андрійович.docx.lnk |
|
Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника. ЮГ КРАСНОАРМЕЙСКА.docx.lnk |
|
ГУР'ЄВ Павло Андрійович.docx.lnk |
|
Координаты взлетов противника за 8 дней (Красноармейск).xlsx.lnk |
|
Позиции противника запад и юго-запад.xlsx.lnk |
|
РИБАК Станіслав Вікторович.docx.lnk |
|
ШАШИЛО Олександр Віталійович.docx.lnk |
Кампанія з розповсюдження вірусу складається з чотирьох великих фішингових кластерів, які видають себе за Центральне розвідувальне управління США, Російський добровольчий корпус, «Легіон Свободи» та «Хочу жить» — гарячу лінію для отримання звернень від російських військовослужбовців в Україні з проханням здатися в полон Збройним силам України.
Зловмисники використовують Google Forms та відповіді на електронні листи для збору особистої інформації про жертв, зокрема їхні політичні погляди, шкідливі звички та фізичну підготовку.
Gamaredon, відома також як UAC-0010 та Armageddon, діє щонайменше з 2013 року та асоціюється з ФСБ рф. Група спеціалізується на кібершпигунстві та крадіжці даних, зосереджуючи свої атаки переважно на українських державних установах. Раніше в Україні було створено сервіс Tryzub, який моделює поведінку хакерів Armageddon і Sandworm для подальшого вивчення.
Україна постійно потерпає від кібератак противника, і випадок з «Укрзалізницею» є гарною ілюстрацією, що ворог вкладає чималі ресурси для підриву цифрової інфраструктури. Нагадаємо, що ми раніше поспілкувалися з генеральним директором Національного директорату кібербезпеки Румунії про сучасний стан європейської кібербезпеки.
