- Категория
- IT и Телеком
- Дата публикации
- Переключить язык
- Читати українською
В CERT-UA рассказали о вирусе с логотипом Нацуниверситета обороны. Тем временем имени Черняховского вуз лишили
Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA), действующая при Госслужбе спецсвязи и защиты информации, выявила и исследовала факт кибератаки группы UAC-0057 (GhostWriter) на одну из государственных организаций Украины.
Как отмечается в сообщениях этих структур, специалисты обнаружили PPT-документ "daewdfq342r.ppt", содержащий макрос и изображение-миниатюру с эмблемой Национального университета обороны имени Ивана Черняховского.
Отмечается, что в случае открытия документа и активации макроса на компьютере жертвы будет создан исполняемый файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а также файл-ярлык, предназначенный для запуска последнего.
Файл "glkgh90kjykjkl650kj0.dll" классифицирован как вредоносное приложение PicassoLoader, типично используемое группой GhostWriter и предназначенное для загрузки изображения, его дешифрования и запуска полученного пэйлоада.
Подписывайтесь на Telegram-канал delo.uaВ рассматриваемом инциденте PicassoLoader обеспечивает загрузку и запуск .NET-дропера, осуществящего дешифрование (AES) и запуск исполняемого файла "PhotoMetadataHandler.dll", который, в свою очередь, выполнит дешифрование и запуск Cobalt Strike Beacon на компьютере жертвы.
Персистентность запуска упомянутого DLL-файла обеспечивается либо путем создания запланированной задачи ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), либо за счет создания LNK-файла в папке автозапуска ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").
Как указывают в CERT-UA, даты компиляции программ и создания или модификации указанного PPT-документа свидетельствуют о том, что атака инициирована не позднее 9 июня. Серверы управления вредоносной программой размещены в России, однако доменные имена были "скрыты" через сервис Cloudflare.
В свою очередь, примечательно, что в пятницу же Офис президента опубликовал указ главы государства Владимира Зеленского №335, датированный этим же днем 16 июня, о лишении Национального университета обороны, собственно, имени Ивана Черняховского, которое было ему присвоено в 2013 году указом тогдашнего президента Виктора Януковича.
Как сообщила пресс-служба, президент принял в пятницу участие в торжествах по случаю выпуска слушателей этого университета: в этом году он подготовил 317 выпускников стратегического, оперативно-тактического и тактического уровней подготовки. Десяти выпускникам двух последних уровней Зеленский вручил дипломы с отличием, пяти – нагрудные знаки. Смена же названия вузов в сообщении не комментируется.
Черняховский, напомним, был советским военачальником, командовавшим в 1942-1944 годах 60-й армией на Воронежском фронте, а впоследствии – войсками 3-го Белорусского фронта. Дважды (1943 и 1944) получал звание Героя Советского Союза, а в феврале 1945 погиб на оккупированной советскими войсками территории Восточной Пруссии.
Именем Черняховского, который был уроженцем села Оксанина нынешней Бабанской общины Черкасской области, в частности, были названы и до сих пор называются улицы в ряде городов Украины, в том числе в Киеве и Одессе, хотя в течение прошлого года в ряде городов это название было изменено. Недавно, 1 июня, такое решение было принято и горсоветом Чернигова (улица была названа в честь Филиппа Орлика).
Источник фото: ua.depositphotos.com