Хакеры из Armageddon рассылают вирус под видом "базы адресов военных преступников РФ" - Госспецсвязи

Фото: Depositphotos
Фото: Depositphotos

Правительственная команда реагирования на компьютерные чрезвычайные события (CERT-UA), действующая в составе Госслужбы спецсвязи и защиты информации, сообщает о рассылке по украинским государственным органам писем с вредоносным файлом, которую связывают с деятельностью группировки UAC-0010 (Armageddon).

Мы продолжаем сражаться с оккупантом на информационном фронте, предоставляя исключительно проверенную информацию и аналитику.
Война лишила нас возможности зарабатывать, просим Вашей поддержки.
Поддержать delo.ua

Отмечается, что темой таких писем указана "Информация о военных преступниках РФ", а в письме содержится HTML-файл "Військові злочинці РФ.htm", открытие которого приводит к созданию на компьютере RAR-архива "Viyskovi_zlochinci_RU.rar".

В нем, в свою очередь, содержится файл-ярлык "Військові-злочинці, що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", открытие которого приводит к загрузке HTA-файла, содержащего код на языке VBScript, который обеспечивает загрузку и запуск powershell-скрипта "get.php" (GammaLoad.PS1).

"Задачей последнего является определение уникального идентификатора компьютера (на основе имени компьютера и серийного номера системного диска), передача этой информации для использования в качестве XOR-ключа на сервер управления с помощью HTTP POST-запроса, а также загрузка, XOR-декодирование и запуск пейлоада", - сообщили в CERT-UA, не уточняя, в чем именно заключается действие запускаемой таким образом программы.

В Госспецсвязи также обращают внимание на необходимость дополнительной проверки электронных писем с вложениями в виде HTM-файлов, "поскольку сейчас уровень их детектирования низок".

Напомним также, что на днях правительственная команда реагирования на кибератаки сообщила о рассылке вредоносной программы Mars Stealer через электронные письма якобы от имени Министерства образования.

Двумя месяцами ранее в CERT-UA сообщали о кибератаке, совершенной от имени госпредприятия "Администрация морских портов Украины", которую там также связали с деятельностью группы Armageddon.

Отметим, что в начале ноября 2021 года Служба безопасности Украины заявила, что в Armageddon входят сотрудники Федеральной службы безопасности России в Крыму, которые до оккупации полуострова работали в самой СБУ. Сначала подозрения были заочно предъявлены пяти людям, однако спустя неделю СБУ сообщила, что по делу проходят подозреваемыми уже восемь человек.

При этом еще в марте прошлого года украинская спецслужба заявила, что заблокировала масштабную кибератаку на украинские органы власти со стороны Armageddon.

Источник фото: ua.depositphotos.com