Кіберфахівці Держспецзв’язку спільно з командою дослідників загроз Unit 42 компанії Palo Alto Networks дослідили розповсюдження шкідливого ПЗ SmokeLoader в Україні, яким часто користуються для атак російське хакерське угрупування під назвою UAC-0006.
Кіберфахівці Держспецзв’язку спільно з командою дослідників загроз Unit 42 компанії Palo Alto Networks дослідили розповсюдження шкідливого ПЗ SmokeLoader в Україні, яким часто користуються для атак російське хакерське угрупування під назвою UAC-0006.
Дослідження тривало протягом травня-листопада 2023 року, коли було зафіксовано значне зростання атак, пов’язаних із SmokeLoader, на державний, оборонний та фінансовий сектори. Усього проаналізовано 23 хвилі фішингових атак, говориться у звіті.
SmokeLoader, також відомий як Dofoil або Sharik, є завантажувачем для доставки додаткового шкідливого програмного забезпечення на інфікований комп’ютер, який управляється операційною системою Windows. Атаки з його використанням здійснюються щонайменше з 2011 року.
Цей інструмент найчастіше використовують для атак на фінансові установи російські хакери, яких Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA атрибутує за ідентифікатором UAC-0006. Проте кіберзлочинці не обмежуються виключно фінансовим сектором, демонструючи стратегію диверсифікації своїх цілей з метою максимізації потенціалу прибутку.
Протягом цих семи місяців хакери здійснили 760 фішингових атак. Більшість з них були направлені на державні установи, а найбільшу кількість зафіксували у серпні та жовтні — 198 та 174 відповідно.
Щодо розподілу за реєстраторами доменних імен, то найпоширенішими були RU-CENTER-RU, REGTIME-RU та REGRU-RU.
Основним вектором атаки є фішингова розсилка електронних листів від організацій, яким довіряють. Усі теми електронних листів стосуються оплати та виставлення рахунків, наприклад: «До оплати», «рахунок за травень/до оплати», «акт_звірки_та_рахунки», «Рахунок-фактура», «Помилкове зарахування вiд 18.07.2023p.», «Рахунок на оплату (природный газ) (ПГ) № 806 от 24 августа 2023».
«Беручи до уваги періодичність проаналізованих атак з використанням SmokeLoader за останні 7 місяців, можна зробити висновок, що на цей момент малоймовірно, що подібні фішингові кампанії будуть організовуватися з частотою не рідше, ніж двічі на місяць», — підсумували у звіті.
