НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Наличный курс:

USD

41,65

41,58

EUR

44,12

43,95

В CERT-UA рассказали о вирусе с логотипом Нацуниверситета обороны. Тем временем имени Черняховского вуз лишили

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA), действующая при Госслужбе спецсвязи и защиты информации, выявила и исследовала факт кибератаки группы UAC-0057 (GhostWriter) на одну из государственных организаций Украины.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

Как отмечается в сообщениях этих структур, специалисты обнаружили PPT-документ "daewdfq342r.ppt", содержащий макрос и изображение-миниатюру с эмблемой Национального университета обороны имени Ивана Черняховского.

Отмечается, что в случае открытия документа и активации макроса на компьютере жертвы будет создан исполняемый файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а также файл-ярлык, предназначенный для запуска последнего.

Файл "glkgh90kjykjkl650kj0.dll" классифицирован как вредоносное приложение PicassoLoader, типично используемое группой GhostWriter и предназначенное для загрузки изображения, его дешифрования и запуска полученного пэйлоада.

В рассматриваемом инциденте PicassoLoader обеспечивает загрузку и запуск .NET-дропера, осуществящего дешифрование (AES) и запуск исполняемого файла "PhotoMetadataHandler.dll", который, в свою очередь, выполнит дешифрование и запуск Cobalt Strike Beacon на компьютере жертвы.

Персистентность запуска упомянутого DLL-файла обеспечивается либо путем создания запланированной задачи ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), либо за счет создания LNK-файла в папке автозапуска ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").

Как указывают в CERT-UA, даты компиляции программ и создания или модификации указанного PPT-документа свидетельствуют о том, что атака инициирована не позднее 9 июня. Серверы управления вредоносной программой размещены в России, однако доменные имена были "скрыты" через сервис Cloudflare.

В свою очередь, примечательно, что в пятницу же Офис президента опубликовал указ главы государства Владимира Зеленского №335, датированный этим же днем 16 июня, о лишении Национального университета обороны, собственно, имени Ивана Черняховского, которое было ему присвоено в 2013 году указом тогдашнего президента Виктора Януковича.

Как сообщила пресс-служба, президент принял в пятницу участие в торжествах по случаю выпуска слушателей этого университета: в этом году он подготовил 317 выпускников стратегического, оперативно-тактического и тактического уровней подготовки. Десяти выпускникам двух последних уровней Зеленский вручил дипломы с отличием, пяти – нагрудные знаки. Смена же названия вузов в сообщении не комментируется.

Черняховский, напомним, был советским военачальником, командовавшим в 1942-1944 годах 60-й армией на Воронежском фронте, а впоследствии – войсками 3-го Белорусского фронта. Дважды (1943 и 1944) получал звание Героя Советского Союза, а в феврале 1945 погиб на оккупированной советскими войсками территории Восточной Пруссии.

Именем Черняховского, который был уроженцем села Оксанина нынешней Бабанской общины Черкасской области, в частности, были названы и до сих пор называются улицы в ряде городов Украины, в том числе в Киеве и Одессе, хотя в течение прошлого года в ряде городов это название было изменено. Недавно, 1 июня, такое решение было принято и горсоветом Чернигова (улица была названа в честь Филиппа Орлика).

Источник фото: ua.depositphotos.com