НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Наличный курс:

USD

41,65

41,58

EUR

44,12

43,95

В Украине зафиксировали кибератаку с "приманкой", замаскированной под статью известного СМИ

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила киберугрозу со стороны хакерской группировки APT28 (также известной как Pawn Storm, Fancy Bear и BlueDelta) против украинских организаций.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

Как говорится в сообщении, ее пытались осуществить с применением эксплойтов для Roundcube (программное обеспечение для веб-почты) и посредством рассылки электронных писем с актуальными новостями о ситуации в Украине.

В частности, одно из электронных писем с темой "Новости Украины" было получено с адреса ukraine_news@meta[.]ua и содержало контент-приманку, замаскированную под статью издания NV (nv.ua), а также эксплойт для уязвимости в Roundcube CVE-2020-35730 (XSS) и соответствующий JavaScript-код, предназначенный для загрузки и запуска дополнительных JavaScript-файлов: "q.js" и "e.js".

Так, файл "e.js" обеспечивает создание фильтра "default filter" для перенаправления входящих электронных писем на сторонний электронный адрес, а также осуществляет эксфильтрацию с помощью HTTP POST-запросов: адресной книги, значений сессии (Cookie) и сообщений жертвы. В свою очередь, "q.js" содержит эксплойт для уязвимости в Roundcube CVE-2021-44026 (SQLi), с помощью которого осуществляется эксфильтрация информации из базы данных Roundcube.

Дополнительно обнаружен программный код "c.js", содержащий эксплойт для уязвимости CVE-2020-12641 и обеспечивающий выполнение команд на почтовом сервере.

В целом подобные электронные письма были отправлены на адреса более 40 украинских организаций. При этом в CERT-UA отмечают, что реализации угрозы способствовало использование устаревшей версии Roundcube (1.4.1). Попытку же реализации киберугрозы, как сообщается, помог выявить оперативный обмен информацией со специалистами компании Recorded Future.

Напомним также, что накануне в CERT-UA сообщали о мошеннической активности в отношении пользователей, использующих электронную почту сервиса Ukr.net.

Источник фото: ua.depositphotos.com