У Держспецзв‘язку попереджують: ворог здійснив нову кібератаку на держсайти

​​Повідомлення про це установа виклала на власному телеграм-каналі. Ворожі хакери розсилають підозрілі електронні листи.

«Увага! Нова кібератака на державні організації України через розсилання електронних листів

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про розсилання нових небезпечних електронних листів із темою «Спеціалізованої прокуратури у військовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування». 

Листи мають вкладення у вигляді XLS-документу, що містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”. 

Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.

Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.

З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056, яку також опосередковано пов‘язують з російськими хакерськими угрупуваннями.

6 липня також зазнав хакерських атак Латвійський Державний центр радіо та телебачення. Атака тривала понад сім годин. Для того щоб зменшити та локалізувати атаку та її потенційний вплив, тоді обмежили доступ до окремих послуг.