- Категория
- IT и Телеком
- Дата публикации
- Переключить язык
- Читати українською
В Госспецсвязи нашли фейковый сайт "Всемирного конгресса украинцев" с вредоносным файлом по саммиту НАТО
Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила вредоносный сайт, копирующий английскую версию веб-ресурса международной неправительственной организации "Всемирный конгресс украинцев". Как говорится в сообщении структуры, фальшивый сайт имеет адрес worldcongress.info, в то время как настоящий - worldcongress.org.
На первом веб-ресурсе размещены два DOCX-документа - "Overview_of_UWCs_UkraineInNATO_campaign.docx" и "Letter_NATO_Summit_Vilnius_2023_ENG(1).docx", каждый из которых содержит в своей структуре RTF-документ "afchunk.rtf" путь.
"Открытие этих документов и успешная эксплуатация соответствующих уязвимостей инициирует цепь поражения, которая, среди прочего, предусматривает взаимодействие с инфраструктурой хакеров с использованием SMB и HTTP, загрузку и запуск CHM-файла, содержащего HTM- и MHT- (Web Archive) файлы, загрузку и запуск URL- (InternetShortcut) файла, загрузку и запуск VBS-файла", – говорится в сообщении.
При этом упомянутый VBScript-файл обеспечивает возможность запуска EXE, DLL, PS1, CPL файлов, размещенных на SMB-ресурсе. Отмечается, что на момент исследования CERT-UA получила и исследовала файлы "testdll.dll", "testdll64.cpl" и "calc.exe".
Первые два признаков вредоносного программного обеспечения не содержат, однако "calc.exe" классифицирован как вредоносная программа (лоадер) MagicSpell, назначением которой является загрузка, дешифрование, обеспечение персистентности и запуск другого исполняемого файла.
Анализ содержимого SMB-ресурса позволил установить 195 IP-адресов, использовавшихся компьютерами, с которых осуществлялось взаимодействие с описанной инфраструктурой. Однако анализ IP-адресов свидетельствует об их географической распределенности (около 30 разных стран) и принадлежности большинства из них к VPN-сервисам, исследовательским организациям и так далее. Указанная активность отслеживается по идентификатору UAC-0168.
"Использование имени общественной организации "Всемирный конгресс украинцев", а также тематики членства Украины в Организации Североатлантического договора как приманки может свидетельствовать о том, что описанная кибератака имеет отношение к саммиту НАТО, который пройдет 11-12 июля 2023 года в Вильнюсе (Литовская Республика) ", – добавляют в CERT-UA.
Напомним также, что недавно там зафиксировали кибератаку с приманкой, замаскированной под статью известного украинского СМИ, а также мошенническую активность в отношении пользователей сервиса электронной почты Ukr.net.