В Госспецсвязи рассказали о длительном шпионаже хакеров в отношении редакторов украинских СМИ

Как сообщается в сообщении организации, неустановленными лицами из хакерской группировки UAC-0099 с помощью электронной почты и мессенджеров распространяются файлы (.HTA, .EXE, .RAR, .LNK), запуск которых приводит к поражению компьютеров жертв вредоносной программой Lonepage.

Последняя представляет собой PowerShell-сценарий (обычно в виде JavaScript- или VBScript-файла), осуществляющий загрузку с сервера управления TXT-файла ("upgrade.txt"), выполнение PowerShell-команд, содержащихся в файле, и передачу результатов на сервер с помощью HTTP POST-запроса.

При этом отмечается, что на пораженный компьютер могут загружаться вредоносные программы Thumbchop (стиллер для Chrome и Opera), Clogflag (кейлогер), а также TOR и SSH для создания скрытого сервиса и/или построения обратного соединения, что создает предпосылки для интерактивного несанкционированного удаленного доступа к компьютеру.

"При реагировании на инцидент также были выявлены образцы вредоносных программ, разработанных с использованием языка программирования Go, а именно: Seaglow и Overjam", - добавляют в CERT-UA.

Кроме того, сообщается и о случаях горизонтального перемещения с пораженной ЭВМ, а именно сканирование локальной вычислительной сети, компрометация компьютеров привилегированных пользователей и получение доступа к корпоративным информационным системам.

По данным CERT-UA, в течение 2022-2023 годов таким образом UAC-0099 получила несанкционированный удаленный доступ к нескольким десяткам компьютеров в Украине.

При этом указано, что минимизации реализации описанной угрозы может способствовать, в частности, ограничение возможности запуска на компьютерах легитимных компонентов: wscript.exe, cscript.exe, powershell.exe и mshta.exe.

Напомним, что именно 6 июня в Украине отмечается День журналиста – в честь годовщины принятия Союза журналистов Украины в Международную федерацию журналистов, состоявшуюся в 1992 году.