CERT-UA попереджає про чергову кібератаку на державні органи України
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє про чергову кібератаку, яка здійснюється на державні організації України. На електронну пошту організацій надсилається лист начебто, від імені ДП «Адміністрація морських портів України». При цьому до повідомлення прикріплено вкладення у вигляді RAR-архіву «порти АРК.rar» зі шкідливими файлами.
Повідомляється, що у складі RAR-архіву міститься два шкідливих документи DOCX:
- «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx»
- «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx».
У кожному з цих файлів, своєю чергою, міститься вбудована URL-адреса. У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad. Вона дозволяє зловмисникам проводити ідентифікацію комп’ютера (визначати %COMPUTERNAME% і %SYSTEMDRIVE%). Також GammaLoad проводить подальше завантаження та запуск додаткових шкідливих програм. Зберігання роботи програми забезпечується за допомогою запланованого завдання.
CERT-UA асоціює цю атаку з діяльністю групи Armageddon (ідентифікатор UAC-0010).
Індикатори компрометації
Файли:
9fe8203b06c899d15cb20d2497103dbb порти АРК.rar 178b0739ac2668910277cbf13f6386e8 Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx fd4de6bb19fac13487ea72d938999fbd Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx 8644a34af1bf278d4cbe28022f77fd69 derg.gif
Мережеві:
hxxp://surname192.temp.swtest[.]ru/prapor/su/derg.gif hxxp://surname192.temp.swtest[.]ru/prapor/su/ino.gif hxxp://<IP-адреса>/concession.mot surname192.temp.swtest[.]ru coagula[.]online tortunas[.]ru phymateus[.]online [email protected][.]cz
Хостові:
%USERPROFILE%Downloads<назва_файлу>.exe
В Україні у ніч із 13 на 14 січня сталася масштабна кібератака на урядові сайти, яка охопила 70 урядових сайтів та стала найпотужнішою за останні чотири роки. Внаслідок кібератаки на урядові сайти з-поміж інших постраждали сервіси МТСБУ, що своєю чергою призвело до призупинення продажу електронних полісів автоцивілки (ОСЦПВ).
Джерело: CERT-UA
