Запланована подія 2

НБУ курс:

USD

41,34

+0,03

EUR

45,85

+1,22

Наличный курс:

USD

41,00

40,90

EUR

45,45

45,20

Свободная энергия
  1. Свободная 
  2. энергия
Три года большой войны

Три года 

большой войны
Smart Money

Smart 

Money
ТопФінанс-2025

ТопФинанс-2025
Драйверы экономики

Драйверы

экономики
Перспективы рынка труда

Перспективы

рынка труда
Сталеве серцекраїни

Сталеве серце

країни
Є сенс допомагати

Є сенс 

допомагати
путь ветеранов

Адаптация:

путь ветеранов

Файлы Cookie

Я разрешаю DELO.UA использовать файлы cookie.

Политика конфиденциальности
Категория
IT и Телеком
Дата публикации
Переключить язык
Читати українською

Хакеры из Armageddon рассылают вирус под видом "базы адресов военных преступников РФ" - Госспецсвязи

Хакеры из Armageddon рассылают вирус под видом "базы адресов военных преступников РФ" - Госспецсвязи
Фото: Depositphotos

Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая в составе Госслужбы спецсвязи и защиты информации, сообщает о рассылке по украинским государственным органам писем с вредоносным файлом, которую связывают с деятельностью группировки UAC-0010 (Armageddon).

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.
11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.
Забронировать участие

Отмечается, что темой таких писем указана "Информация о военных преступниках РФ", а в письме содержится HTML-файл "Військові злочинці РФ.htm", открытие которого приводит к созданию на компьютере RAR-архива "Viyskovi_zlochinci_RU.rar".

В нем, в свою очередь, содержится файл-ярлык "Військові-злочинці, що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", открытие которого приводит к загрузке HTA-файла, содержащего код на языке VBScript, который обеспечивает загрузку и запуск powershell-скрипта "get.php" (GammaLoad.PS1).

"Задачей последнего является определение уникального идентификатора компьютера (на основе имени компьютера и серийного номера системного диска), передача этой информации для использования в качестве XOR-ключа на сервер управления с помощью HTTP POST-запроса, а также загрузка, XOR-декодирование и запуск пейлоада", - сообщили в CERT-UA, не уточняя, в чем именно заключается действие запускаемой таким образом программы.

В Госспецсвязи также обращают внимание на необходимость дополнительной проверки электронных писем с вложениями в виде HTM-файлов, "поскольку сейчас уровень их детектирования низок".

Напомним также, что на днях правительственная команда реагирования на кибератаки сообщила о рассылке вредоносной программы Mars Stealer через электронные письма якобы от имени Министерства образования.

Двумя месяцами ранее в CERT-UA сообщали о кибератаке, совершенной от имени госпредприятия "Администрация морских портов Украины", которую там также связали с деятельностью группы Armageddon.

Отметим, что в начале ноября 2021 года Служба безопасности Украины заявила, что в Armageddon входят сотрудники Федеральной службы безопасности России в Крыму, которые до оккупации полуострова работали в самой СБУ. Сначала подозрения были заочно предъявлены пяти людям, однако спустя неделю СБУ сообщила, что по делу проходят подозреваемыми уже восемь человек.

При этом еще в марте прошлого года украинская спецслужба заявила, что заблокировала масштабную кибератаку на украинские органы власти со стороны Armageddon.

Источник фото: ua.depositphotos.com

Автор:
Тимофей Беспятов