У CERT-UA розповіли про вірус з логотипом Нацуніверситету оборони. Тим часом імені Черняховського заклад позбавили

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.

11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.

Забронювати участь

Як зазначається у повідомленнях цих структур, спеціалісти виявили PPT-документ "daewdfq342r.ppt", що містить макрос та зображення-мініатюру з емблемою Національного університету оборони імені Івана Черняховського.

Зазначається, що у випадку відкриття документу та активації макросу на комп'ютері жертви буде створений виконуваний файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а також файл-ярлик, призначений для запуску останнього.

Файл "glkgh90kjykjkl650kj0.dll" класифіковано як шкідливу програму PicassoLoader, що типово використовується групою GhostWriter та призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.

В розглянутому інциденті PicassoLoader забезпечує завантаження і запуск .NET-дроперу, що здійснить дешифрування (AES) та запуск виконуваного файлу "PhotoMetadataHandler.dll", який, у свою чергу, виконає дешифрування та запуск Cobalt Strike Beacon на комп'ютері жертви.

Персистентність запуску згаданого DLL-файлу забезпечується або шляхом створення запланованого завдання ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), або за рахунок створення LNK-файлу в папці автозапуску ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").

Як вказують у CERT-UA, дати компіляції програм та створення чи модифікації зазначеного PPT-документу свідчать про те, що атаку ініційовано не пізніше 9 червня. Сервери управління шкідливою програмою розміщено в Росії, проте, доменні імена було "cховано" через сервіс Cloudflare.

В свою чергу, примітно, що у п'ятницю ж Офіс президента опублікував указ глави держави Володимира Зеленського №335, датований цим же днем 16 червня, про позбавлення Національного університету оборони, власне, імені Івана Черняховського, яке було йому присвоєно в 2013 році указом тодішнього президента Віктора Януковича.

Як повідомила пресслужба, президент такою узяв у п'ятницю участь в урочистостях з нагоди випуску слухачів цього університету: цьогоріч він підготував 317 випускників стратегічного, оперативно-тактичного й тактичного рівнів підготовки. Десятьом випускникам двох останніх рівнів Зеленський вручив дипломи з відзнакою, п'ятьом - нагрудні знаки. Зміна ж назви ВНЗ в повідомленні не коментується.

Черняховський, нагадаємо, був радянським воєначальником, що командував у 1942-1944 роках 60-ю армією на Воронезькому фронті, а згодом - військами 3-го Білоруського фронту. Двічі (1943 та 1944) отримував звання Героя Радянського Союзу, а у лютому 1945 року загинув на окупованій радянськими військами території Східної Прусії.

Іменем Черняховскього, що був уроженцем села Оксанина нинішньої Бабанської громади Черкаської області, зокрема, було названо і досі називаються вулиці в низці міст України, в тому числі в Києві та Одесі, хоча протягом минулого року в низці міст цю назву було змінено. Нещодавно, 1 червня, таке рішення було прийнято й міськрадою Чернігова (вулиця була названа на честь Пилипа Орлика).

Джерело фото: ua.depositphotos.com