Українці масово отримують небезпечні листи • Версия для печати • Портал АНТИКОР

Українці масово отримують небезпечні листи

В Україні виявлено нову хвилю кіберзагроз, спрямованих на державні органи, через масове поширення шкідливих електронних листів. Громадянам варто бути особливо уважними до підроблених листів, пов’язаних із сервісами Amazon, Microsoft.

Це повідомляє CERT-UA. Зловмисники використовують теми, пов’язані з інтеграцією сервісів Amazon, Microsoft та впровадженням архітектури "нульової довіри" (Zero trust architecture, ZTA), щоб заманити жертв у пастку.

Один з основних механізмів атаки передбачає використання підроблених електронних листів, які відправляють від імені нібито Генштабу Збройних сил України. У таких листах міститься посилання на сторонній вебсайт, де пропонується завантажити "наказ" чи інші документи. Однак замість безпечних файлів користувач отримує виконуваний файл, що активує шкідливу програму RomCom на комп’ютері.

CERT-UA вказує на можливий зв’язок цієї активності з діяльністю хакерської групи Tropical Scorpius, відомої також як UNC2596. Вона відповідальна за розповсюдження Cuba Ransomware – одного з найнебезпечніших типів програм-здирників, що блокує доступ до файлів користувачів і вимагає викуп за їх відновлення. Ця група використовує шкідливу програму RomCom, яка надає віддалений доступ до системи жертви, дозволяючи зловмисникам красти інформацію та контролювати інфіковані пристрої.

Шкідлива програма, яка запускається після натискання на небезпечне посилання, проходить кілька етапів зараження системи. Після завантаження файла AcroRdrDCx642200120169_uk_UA.exe, що виглядає наче звичайне оновлення програмного забезпечення, на комп’ютері запускається програма, що активує файл "rmtpak.dll". Цей файл дозволяє хакерам отримати доступ до внутрішніх систем жертви, керувати комп’ютером віддалено, копіювати дані та встановлювати додаткові шкідливі програми.

Для виявлення потенційних загроз на комп’ютерах постраждалих CERT-UA публікує індикатори компрометації, які містять назви файлів, хеші та IP-адреси, пов’язані з кібератакою. Зокрема, серед індикаторів компрометації було зафіксовано файли з назвами "Наказ_309.pdf" та "AcroRdrDCx642200120169_uk_UA.exe", а також IP-адреси, пов’язані зі шкідливою активністю: 45[.]158.38.74, 69[.]49.231.103 та інші.

Щоб захистити свої системи, фахівці з кібербезпеки рекомендують вживати низку технічних заходів. Зокрема:

блокування RDP-з’єднань – закриття можливості віддаленого доступу через RDP протокол зі зовнішніх джерел;
блокування шкідливих файлів – налаштування поштових шлюзів для блокування файлів ".rdp", які можуть бути використані для віддаленого підключення;
мережевий моніторинг – перевірка мережевого трафіку на наявність підозрілих з’єднань з зазначеними у попередженнях CERT-UA IP-адресами.

У разі виявлення індикаторів компрометації або підозрілої активності слід негайно звернутися до ІТ-відділу або фахівців з кібербезпеки. Важливо ізолювати інфіковані системи та негайно розпочати перевірку всієї мережі на наявність інших потенційних загроз. Також потрібно дотримуватись основних правил безпеки, зокрема регулярно оновлювати програмне забезпечення та уникати відкриття підозрілих електронних листів.