- Категория
- IT и Телеком
- Дата публикации
- Переключить язык
- Читати українською
Хакеры собирают данные о компьютерах госорганов Украины под видом "обновления Windows": что известно об атаке
Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации предупредила о кибератаке на государственные органы с использованием электронных писем с "инструкциями" по "обновлению операционной системы".
Как говорится в сообщении ДСССЗИ, электронные письма с темой "Обновление Windows" поступают якобы бы от имени системных администраторов ведомств с электронных адресов, созданных на публичном сервисе @outlook.com. В отдельных случаях письма могут формироваться с использованием настоящих фамилии и инициалов сотрудника.
В типичном для атаки письме содержится "инструкция" на украинском языке по "обновлению для защиты от хакерских атак", а также графические изображения процесса запуска командной строки и выполнения PowerShell-команды.
Выполнение последней имитирует процесс обновления операционной системы, загружает и выполняет PowerShell-сценарий для сбора базовой информации о компьютере, а также отправку полученных результатов в API сервиса Mocky.
По данным CERT-UA, активность осуществляется группой APT28 (также известной как Pawn Storm, Fancy Bear), которую ряд исследователей связывают с Россией. В связи с этой рассылкой команда рекомендует пользователям ограничить возможность запуска PowerShell и обеспечить мониторинг сетевых соединений к API сервису Mocky.
Отметим, что в прошлом году хакеры, вероятно, также из указанной группы APT28 рассылали, в частности, предприятиям критической инфраструктуры письма с вирусом якобы Государственной налоговой службы с уведомлением о "штрафах за неуплату налогов".