Киберспециалисты Госспецсвязи совместно с командой исследователей угроз Unit 42 компании Palo Alto Networks исследовали распространение вредоносного ПО SmokeLoader в Украине, которым часто пользуются для атак российская группа хакеров под названием UAC-0006.
Киберспециалисты Госспецсвязи совместно с командой исследователей угроз Unit 42 компании Palo Alto Networks исследовали распространение вредоносного ПО SmokeLoader в Украине, которым часто пользуются для атак российская группа хакеров под названием UAC-0006.
Исследование продолжалось в течение мая-ноября 2023 года, когда был зафиксирован значительный рост атак, связанных с SmokeLoader, на государственный, оборонный и финансовый секторы. Всего проанализировано 23 волны фишинговых атак, говорится в отчете.
SmokeLoader, также известный как Dofoil или Sharik, является загрузчиком для доставки дополнительного вредоносного программного обеспечения на инфицированный компьютер, управляемый операционной системой Windows. Атаки с его использованием осуществляются, по меньшей мере, с 2011 года.
Этот инструмент чаще всего используют для атак на финансовые учреждения российские хакеры, которых Правительственная команда реагирования на чрезвычайные события Украины CERT-UA атрибутирует по идентификатору UAC-0006. Однако киберпреступники не ограничиваются исключительно финансовым сектором, демонстрируя стратегию диверсификации своих целей в целях максимизации потенциала прибыли.
В течение этих семи месяцев хакеры совершили 760 фишинговых атак. Большинство из них были направлены на государственные учреждения, а наибольшее количество зафиксировали в августе и октябре — 198 и 174 соответственно.
Что касается распределения по регистраторам доменных имен, то наиболее распространенными были RU-CENTER-RU, REGTIME-RU и REGRU-RU.
Основным вектором атаки является фишинговая рассылка электронных писем от доверяющих организаций. Все темы электронных писем касаются оплаты и выставления счетов, например: «К оплате», «счет за май/к оплате», «акт_сверки_и_счета», «Счет-фактура», «Ошибочное зачисление от 18.07.2023 г.», «Счет на оплату (природный газ) (ПГ) № 806 от 24 августа 2023 года».
«Принимая во внимание периодичность проанализированных атак с использованием SmokeLoader за последние 7 месяцев, можно заключить, что на данный момент маловероятно, что подобные фишинговые кампании будут организовываться с частотой не реже двух раз в месяц», — подытожили в отчете.
