Украинцы массово получают опасные письма • Версия для печати • Портал АНТИКОР

Украинцы массово получают опасные письма

В Украине выявлена новая волна киберугроз, направленных на государственные органы, через массовое распространение вредоносных электронных писем. Гражданам стоит быть особенно внимательными к поддельным письмам, связанным с сервисами Amazon, Microsoft.

Это сообщает CERT-UA. Злоумышленники используют темы, связанные с интеграцией сервисов Amazon, Microsoft и внедрением архитектуры "нулевого доверия" (Zero trust architecture, ZTA), чтобы заманить жертв в ловушку.

Один из основных механизмов атаки предполагает использование поддельных электронных писем, которые отправляют от имени якобы Генштаба Вооруженных сил Украины. В таких письмах содержится ссылка на сторонний веб-сайт, где предлагается загрузить "приказ" или другие документы. Однако вместо безопасных файлов пользователь получает исполняемый файл, который активирует вредоносную программу RomCom на компьютере.

CERT-UA указывает на возможную связь этой активности с деятельностью хакерской группы Tropical Scorpius, известной также как UNC2596. Она ответственна за распространение Cuba Ransomware – одного из самых опасных типов программ-вымогателей, который блокирует доступ к файлам пользователей и требует выкуп за их восстановление. Эта группа использует вредоносную программу RomCom, которая предоставляет удаленный доступ к системе жертвы, позволяя злоумышленникам красть информацию и контролировать зараженные устройства.

Вредоносная программа, которая запускается после нажатия на опасную ссылку, проходит несколько этапов заражения системы. После загрузки файла AcroRdrDCx642200120169_uk_UA.exe, которые выглядит как обычное обновление программного обеспечения, на компьютере запускается программа, которая активирует файл rmtpak.dll. Этот файл позволяет хакерам получить доступ к внутренним системам жертвы, управлять компьютером удаленно, копировать данные и устанавливать дополнительные вредоносные программы.

Для выявления потенциальных угроз на компьютерах пострадавших CERT-UA публикует индикаторы компрометации, которые содержат названия файлов, хеши и IP-адреса, связанные с кибератакой. В частности, среди индикаторов компрометации были зафиксированы файлы с названиями "Приказ_309.pdf" и "AcroRdrDCx642200120169_uk_UA.exe", а также IP-адреса, связанные с вредоносной активностью: 45[.]158.38.74, 69[.]49.231.103 и другие.

Чтобы защитить свои системы, специалисты по кибербезопасности рекомендуют принять ряд технических мер. В частности:

блокирование RDP-соединений – закрытие возможности удаленного доступа через RDP протокол из внешних источников;
блокирование вредоносных файлов – настройка почтовых шлюзов для блокирования файлов ".rdp", которые могут быть использованы для удаленного подключения;
сетевой мониторинг – проверка сетевого трафика на наличие подозрительных соединений с указанными в предупреждениях CERT-UA IP-адресами.

В случае выявления индикаторов компрометации или подозрительной активности следует немедленно обратиться в ІТ-отдел или к специалистам по кибербезопасности. Важно изолировать зараженные системы и немедленно начать проверку всей сети на наличие других потенциальных угроз. Также нужно придерживаться основных правил безопасности, в частности регулярно обновлять программное обеспечение и избегать открытия подозрительных электронных писем.