- Категория
- IT и Телеком
- Дата публикации
- Переключить язык
- Читати українською
Хакеры из Armageddon рассылают вирус под видом "базы адресов военных преступников РФ" - Госспецсвязи
Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая в составе Госслужбы спецсвязи и защиты информации, сообщает о рассылке по украинским государственным органам писем с вредоносным файлом, которую связывают с деятельностью группировки UAC-0010 (Armageddon).
Отмечается, что темой таких писем указана "Информация о военных преступниках РФ", а в письме содержится HTML-файл "Військові злочинці РФ.htm", открытие которого приводит к созданию на компьютере RAR-архива "Viyskovi_zlochinci_RU.rar".
В нем, в свою очередь, содержится файл-ярлык "Військові-злочинці, що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", открытие которого приводит к загрузке HTA-файла, содержащего код на языке VBScript, который обеспечивает загрузку и запуск powershell-скрипта "get.php" (GammaLoad.PS1).
"Задачей последнего является определение уникального идентификатора компьютера (на основе имени компьютера и серийного номера системного диска), передача этой информации для использования в качестве XOR-ключа на сервер управления с помощью HTTP POST-запроса, а также загрузка, XOR-декодирование и запуск пейлоада", - сообщили в CERT-UA, не уточняя, в чем именно заключается действие запускаемой таким образом программы.
В Госспецсвязи также обращают внимание на необходимость дополнительной проверки электронных писем с вложениями в виде HTM-файлов, "поскольку сейчас уровень их детектирования низок".
Напомним также, что на днях правительственная команда реагирования на кибератаки сообщила о рассылке вредоносной программы Mars Stealer через электронные письма якобы от имени Министерства образования.
Двумя месяцами ранее в CERT-UA сообщали о кибератаке, совершенной от имени госпредприятия "Администрация морских портов Украины", которую там также связали с деятельностью группы Armageddon.
Отметим, что в начале ноября 2021 года Служба безопасности Украины заявила, что в Armageddon входят сотрудники Федеральной службы безопасности России в Крыму, которые до оккупации полуострова работали в самой СБУ. Сначала подозрения были заочно предъявлены пяти людям, однако спустя неделю СБУ сообщила, что по делу проходят подозреваемыми уже восемь человек.
При этом еще в марте прошлого года украинская спецслужба заявила, что заблокировала масштабную кибератаку на украинские органы власти со стороны Armageddon.
Источник фото: ua.depositphotos.com