НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Наличный курс:

USD

41,60

41,55

EUR

44,05

43,81

В Украине зафиксировали новую кибератаку от имени Национального университета обороны

В Украине зафиксировали новую кибератаку от имени Национального университета обороны
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая при Госслужбе спецсвязи и защиты информации, обнаружила и исследовала очередную кибератаку группы UAC-0057 от имени якобы Национального университета обороны Украины.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

Как говорится в сообщении, специалисты обнаружили файл "Збірник_тез_НУОУ_23.rar", который в случае открытия приведет к созданию на компьютере жертвы документа-приманки "16872_16_2023_03049.pdf" под названием "Всеохоплююча оборона: досвід протидії збройній агресії рф проти України".

При этом будет запущен JavaScript-код, который приведет к заражению компьютера вредоносной программой Cobalt Strike Beacon. Отмечается, что этот JavaScript-файл фактически является вариантом реализации функционала ранее используемого лоадера PicassoLoader.

Ранее в CERT-UA сообщали о его использовании, в частности, в прошлой кибератаке с использованием PPT-документа, содержавшего эмблему того же Нацуниверситета обороны. Она, напомним, совпала с лишением этого вуза президентом Владимиром Зеленским имени Ивана Черняховского.

В ГСССЗИ также указывают, что злоумышленники группировки UAC-0057 часто используют для кибератак против госорганов электронные письма на тему "счетов" или "переводов". Например, это может быть рассылка XLS-документов с названием "PerekazF17304072023.xls" и "Rahunok05072023.xls", которые содержат макрос, запускающий вредоносную программу PicassoLoader.

Эта группировка также ранее рассылала фишинговые письма якобы от имени техподдержки. Например, это может быть электронное письмо с темой "Замечена подозрительная активность @UKR.NET" и приложением в виде PDF-файла с названием "Предупреждение о безопасности.pdf".

Источник фото: ua.depositphotos.com