Чергова кібератака на державні організації України

01.02.2022

Тема: Другие вопросы Справочная информация, прочие вопросы Другие вопросы

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження, начебто, від імені Національної служби здоров’я України, електронних поштових повідомлень, що містили посилання на ZIP-архів, розміщений на публічному сервісі Discord.

Згаданий ZIP-архів містить документ-приманку та два ідентичні файли-ярлики, у випадку відкриття яких на комп’ютері жертви буде виконано powershell-команду, що, в свою чергу, призведе до завантаження і запуску шкідливої програми OutSteel (дата компіляції: 28.01.2022). Остання забезпечить пошук та викрадення документів на комп’ютері жертви, а також завантажить і виконає шкідливу програму SaintBot (дата компіляції: 30.04.2021).

Згадана активність спрямована на державні організації України. Відслідковується CERT-UA не пізніше ніж з квітня 2021 року за ідентифікатором UAC-0056.

Додаткова інформація

OutSteel – шкідлива програма, розроблена з використанням мови програмування AutoIt; основний функціонал – викрадення файлів за визначеним переліком розширень файлів (передавання файлів на сервер управління здійснюється за допомогою HTTP POST-запитів).

Фахівці CERT-UA наголошують на необхідності додаткового моніторингу з’єднань з публічним сервісом Discord.

Крім того, CERT-UA зафіксовано факт масового розповсюдження електронних поштових повідомлень, що містять посилання на захищені паролем RAR і/або ZIP архіви (наприклад, «Судовий запит №9978364774635676778282.rar_pass_123.zip»), розміщені на публічних сервісах Google Drive і DropMeFiles.

У разі завантаження, розпакування і запуску вмісту архіву на комп’ютер жертви буде встановлено легітимну програму Remote Utilities, що надасть прихований віддалений доступ до пристрою третім особам. Персистентність програми (здатність поновлювати активність після перезавантаження комп’ютера) забезпечується шляхом створення служби «RManService».

Подібні кібератаки є систематичною активністю, що здійснюється у відношенні державних органів України (але не виключно) та відслідковується CERT-UA за ідентифікатором UAC-0096.

За матеріалами CERT-UA