НБУ курс:

USD

41,53

+0,02

EUR

45,00

--0,16

Наличный курс:

USD

41,55

41,45

EUR

45,29

45,10

В Украине зафиксировали новую кибератаку от имени Национального университета обороны

В Украине зафиксировали новую кибератаку от имени Национального университета обороны
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая при Госслужбе спецсвязи и защиты информации, обнаружила и исследовала очередную кибератаку группы UAC-0057 от имени якобы Национального университета обороны Украины.

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.
11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.
Забронировать участие

Как говорится в сообщении, специалисты обнаружили файл "Збірник_тез_НУОУ_23.rar", который в случае открытия приведет к созданию на компьютере жертвы документа-приманки "16872_16_2023_03049.pdf" под названием "Всеохоплююча оборона: досвід протидії збройній агресії рф проти України".

При этом будет запущен JavaScript-код, который приведет к заражению компьютера вредоносной программой Cobalt Strike Beacon. Отмечается, что этот JavaScript-файл фактически является вариантом реализации функционала ранее используемого лоадера PicassoLoader.

Ранее в CERT-UA сообщали о его использовании, в частности, в прошлой кибератаке с использованием PPT-документа, содержавшего эмблему того же Нацуниверситета обороны. Она, напомним, совпала с лишением этого вуза президентом Владимиром Зеленским имени Ивана Черняховского.

В ГСССЗИ также указывают, что злоумышленники группировки UAC-0057 часто используют для кибератак против госорганов электронные письма на тему "счетов" или "переводов". Например, это может быть рассылка XLS-документов с названием "PerekazF17304072023.xls" и "Rahunok05072023.xls", которые содержат макрос, запускающий вредоносную программу PicassoLoader.

Эта группировка также ранее рассылала фишинговые письма якобы от имени техподдержки. Например, это может быть электронное письмо с темой "Замечена подозрительная активность @UKR.NET" и приложением в виде PDF-файла с названием "Предупреждение о безопасности.pdf".

Источник фото: ua.depositphotos.com