Група реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) попередила про нову серію кібератак, які, за її словами, були спрямовані на оборонні підприємства в країні, а також на її сили безпеки та оборони.
Фішингові атаки приписують пов’язаному з Росією загрозливому агенту під назвою UAC-0185 (він же UNC4221), який діє принаймні з 2022 року.
«Фішингові листи імітували офіційні повідомлення Спілки промисловців і підприємців України», — повідомили в CERT-UA. «У електронних листах містилася реклама конференції, яка відбулася 5 грудня в Києві і спрямована на приведення продукції вітчизняних підприємств ОПК у відповідність зі стандартами НАТО».
Повідомлення електронної пошти містять шкідливу URL-адресу, яка спонукає одержувачів натиснути на неї, щоб переглянути «важливу інформацію», пов’язану з їхньою участю в конференції.
Але насправді це призводить до завантаження файлу ярлика Windows, який після відкриття призначений для виконання програми HTML, яка, у свою чергу, містить код JavaScript, відповідальний за виконання команд PowerShell, здатних завантажувати корисні навантаження наступного етапу. .
Це включає файл-приманку та ZIP-архів, який містить пакетний сценарій, іншу програму HTML і виконуваний файл. На останньому кроці запускається пакетний сценарій для запуску файлу програми HTML, який потім запускає двійковий файл MeshAgent на хості, надаючи зловмисникам віддалений контроль над скомпрометованою системою.
У CERT-UA заявили, що загроза зосереджена насамперед на крадіжці облікових даних, пов’язаних із додатками для обміну повідомленнями, такими як Signal, Telegram і WhatsApp, а також українськими військовими системами, такими як DELTA, Teneta та Kropyva.
“Хакери також здійснили ряд кібератак з метою несанкціонованого доступу до комп’ютерів працівників оборонних підприємств і представників сил безпеки і оборони”, – йдеться в повідомленні.
За даними Mandiant, що належить Google і який оприлюднив UNC4221 на конференції безпеки SentinelLabs LABScon раніше у вересні цього року, ця загроза відома тим, що збирає «дані, що стосуються поля бою, за допомогою шкідливого програмного забезпечення Android, фішингових операцій, які маскуються під українські військові програми, і цільових операцій такі популярні платформи обміну повідомленнями, як Telegram і WhatsApp».
CERT-UA попереджає про фішингові атаки на Сили безпеки України
