- Категория
- IT и Телеком
- Дата публикации
В Украине зафиксировали новую кибератаку от имени Национального университета обороны
Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая при Госслужбе спецсвязи и защиты информации, обнаружила и исследовала очередную кибератаку группы UAC-0057 от имени якобы Национального университета обороны Украины.
Как говорится в сообщении, специалисты обнаружили файл "Збірник_тез_НУОУ_23.rar", который в случае открытия приведет к созданию на компьютере жертвы документа-приманки "16872_16_2023_03049.pdf" под названием "Всеохоплююча оборона: досвід протидії збройній агресії рф проти України".
При этом будет запущен JavaScript-код, который приведет к заражению компьютера вредоносной программой Cobalt Strike Beacon. Отмечается, что этот JavaScript-файл фактически является вариантом реализации функционала ранее используемого лоадера PicassoLoader.
Ранее в CERT-UA сообщали о его использовании, в частности, в прошлой кибератаке с использованием PPT-документа, содержавшего эмблему того же Нацуниверситета обороны. Она, напомним, совпала с лишением этого вуза президентом Владимиром Зеленским имени Ивана Черняховского.
Подписывайтесь на Telegram-канал delo.uaВ ГСССЗИ также указывают, что злоумышленники группировки UAC-0057 часто используют для кибератак против госорганов электронные письма на тему "счетов" или "переводов". Например, это может быть рассылка XLS-документов с названием "PerekazF17304072023.xls" и "Rahunok05072023.xls", которые содержат макрос, запускающий вредоносную программу PicassoLoader.
Эта группировка также ранее рассылала фишинговые письма якобы от имени техподдержки. Например, это может быть электронное письмо с темой "Замечена подозрительная активность @UKR.NET" и приложением в виде PDF-файла с названием "Предупреждение о безопасности.pdf".
Источник фото: ua.depositphotos.com