Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, зафіксувала нові кібератаки, здійснені хакерським злочинним угрупованням UAC-0099.
Протягом 2022–2023 років згадане угрупування отримало несанкціонований віддалений доступ до кількох десятків комп’ютерів в Україні.
Цього разу в зоні ризику опинилися державні організації, зокрема, лісництва, судово-медичні установи та промислові підприємства.
Зловмисники продовжують використовувати традиційні методи для проникнення в інформаційні системи: фішингові електронні листи з шкідливими вкладеннями. Однак, методи та інструменти атак постійно вдосконалюються.
Цього разу зловмисники почали використовувати листи із вкладеннями у вигляді подвійних архівів з LNK або HTA файлами. При цьому, деякі архіви могли містити експлойт для відомої вразливості WinRAR CVE-2023-38831. Ця вразливість давала зловмисникам можливість запускати шкідливі програми на комп'ютері жертви без її згоди.
В CERT-UA звертають увагу на ускладнення інструментарію, який застосовують зловмисники. Якщо раніше вони використовували простий VBS-скрипт LONEPAGE, то зараз вони застосовують більш складну схему з шифруванням та дешифруванням файлів на зараженій машині.
Крім того, кіберзлочинці продовжують використовувати сервіси Cloudflare для приховування своєї діяльності та підвищення стійкості інфраструктури.
Джерело: Держспецзв’язку