CERT-UA, правительственная команда реагирования на компьютерные чрезвычайные события Украины, работающая в составе Госспецсвязи, сообщила о серии кибератак, направленных на украинских военных, использующих мессенджер Signal.
CERT-UA, правительственная команда реагирования на компьютерные чрезвычайные события Украины, работающая в составе Госспецсвязи, сообщила о серии кибератак, направленных на украинских военных, использующих мессенджер Signal.
В CERT-UA рассказали, что в конце декабря получили информацию от специалистов кибербезопасности компании Trendmicro об обнаружении подозрительных файлов, большинство из которых касалось тематики войны. Это привело к выявлению серии кибератак, которые под видом рекрутинга в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (ЦАХАЛ) проводятся против военнослужащих Вооруженных Сил Украины.
Кибератаки проходили в Signal, где производилось распространение архивов с LNK-файлами. Их запуск инициирует цепь поражения вредоносными программами REMCOSRAT и REVERSESSH, что приводит к созданию технических условий несанкционированного удаленного доступа к устройству злоумышленников.
«Как правило, упомянутые файлы-ярлыки содержат обфускованную команду для загрузки и запуска с помощью mshta.exe HTA-файла, в котором находится обфускованный программный код. В свою очередь VBScript-код осуществит запуск PowerShell-команды, предназначенной для расшифровки (AES-128-ECB), декомпрессии (GZIP) и запуска PowerShell-сценария. Последний обеспечит загрузку и запуск файла (-ов) вредоносной программы, а также документ-приманку (PDF или DOCX). При этом, названия и содержание таких документов также очень релевантны для военных: „опрос пленника“, „геолокации“, „команды кодирования“, „исковые“ и т. д.», — указывают специалисты CERT-UA.
Они отметили, что описанная активность по другим специфическим признакам является отдельным кластером киберугроз и отслеживается по идентификатору UAC-0184.
Мессенджер Signal популярен среди украинских военных как более безопасная и защищенная альтернатива Telegram.
Напомним, что недавно на российском телевидении показали сюжет, согласно которому россия может читать удаление сообщения в Telegram.
Ранее соучредитель Petcube Ярослав Ажнюк запустил проект Kremlingram для исследования связей Telegram с Кремлем.
