Ворожі хакери атакують: лісництва, судово-медичні установи та заводи

У Держспецзв’язку повідомляють, що зловмисники почали використовувати листи із вкладеннями у вигляді подвійних архівів з LNK або HTA файлами. При цьому, їх дії дають зловмисникам можливість запускати шкідливі програми на комп'ютері жертви без її згоди

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, зафіксувала нові кібератаки, здійснені хакерським злочинним угрупованням UAC-0099.


Протягом 2022–2023 років згадане угрупування отримало несанкціонований віддалений доступ до кількох десятків комп’ютерів в Україні.


Цього разу в зоні ризику опинилися державні організації, зокрема, лісництва, судово-медичні установи та промислові підприємства.


Зловмисники продовжують використовувати традиційні методи для проникнення в інформаційні системи: фішингові електронні листи з шкідливими вкладеннями. Однак, методи та інструменти атак постійно вдосконалюються.


Цього разу зловмисники почали використовувати листи із вкладеннями у вигляді подвійних архівів з LNK або HTA файлами. При цьому, деякі архіви могли містити експлойт для відомої вразливості WinRAR CVE-2023-38831. Ця вразливість давала зловмисникам можливість запускати шкідливі програми на комп'ютері жертви без її згоди.


В CERT-UA звертають увагу на ускладнення інструментарію, який застосовують зловмисники. Якщо раніше вони використовували простий VBS-скрипт LONEPAGE, то зараз вони застосовують більш складну схему з шифруванням та дешифруванням файлів на зараженій машині.


Крім того, кіберзлочинці продовжують використовувати сервіси Cloudflare для приховування своєї діяльності та підвищення стійкості інфраструктури.


Джерело: Держспецзв’язку