Запланована подія 2

НБУ курс:

USD

41,53

+0,02

EUR

45,00

--0,16

Наличный курс:

USD

41,55

41,45

EUR

45,29

45,10

Свободная энергия
  1. Свободная 
  2. энергия
Три года большой войны

Три года 

большой войны
Smart Money

Smart 

Money
ТопФінанс-2025

ТопФинанс-2025
Драйверы экономики

Драйверы

экономики
Перспективы рынка труда

Перспективы

рынка труда
Сталеве серцекраїни

Сталеве серце

країни
Є сенс допомагати

Є сенс 

допомагати
путь ветеранов

Адаптация:

путь ветеранов
Категория
IT и Телеком
Дата публикации
Переключить язык
Читати українською

В Украине зафиксировали кибератаку с "приманкой", замаскированной под статью известного СМИ

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила киберугрозу со стороны хакерской группировки APT28 (также известной как Pawn Storm, Fancy Bear и BlueDelta) против украинских организаций.

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.
11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.
Забронировать участие

Как говорится в сообщении, ее пытались осуществить с применением эксплойтов для Roundcube (программное обеспечение для веб-почты) и посредством рассылки электронных писем с актуальными новостями о ситуации в Украине.

В частности, одно из электронных писем с темой "Новости Украины" было получено с адреса ukraine_news@meta[.]ua и содержало контент-приманку, замаскированную под статью издания NV (nv.ua), а также эксплойт для уязвимости в Roundcube CVE-2020-35730 (XSS) и соответствующий JavaScript-код, предназначенный для загрузки и запуска дополнительных JavaScript-файлов: "q.js" и "e.js".

Так, файл "e.js" обеспечивает создание фильтра "default filter" для перенаправления входящих электронных писем на сторонний электронный адрес, а также осуществляет эксфильтрацию с помощью HTTP POST-запросов: адресной книги, значений сессии (Cookie) и сообщений жертвы. В свою очередь, "q.js" содержит эксплойт для уязвимости в Roundcube CVE-2021-44026 (SQLi), с помощью которого осуществляется эксфильтрация информации из базы данных Roundcube.

Дополнительно обнаружен программный код "c.js", содержащий эксплойт для уязвимости CVE-2020-12641 и обеспечивающий выполнение команд на почтовом сервере.

В целом подобные электронные письма были отправлены на адреса более 40 украинских организаций. При этом в CERT-UA отмечают, что реализации угрозы способствовало использование устаревшей версии Roundcube (1.4.1). Попытку же реализации киберугрозы, как сообщается, помог выявить оперативный обмен информацией со специалистами компании Recorded Future.

Напомним также, что накануне в CERT-UA сообщали о мошеннической активности в отношении пользователей, использующих электронную почту сервиса Ukr.net.

Источник фото: ua.depositphotos.com

Автор:
Тимофей Беспятов