- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
У CERT-UA розповіли про вірус з логотипом Нацуніверситету оборони. Тим часом імені Черняховського заклад позбавили
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA), що діє при Держслужбі спецзв’язку та захисту інформації, виявила та дослідила факт кібератаки групи UAC-0057 (GhostWriter) на одну із державних організацій України.
Як зазначається у повідомленнях цих структур, спеціалісти виявили PPT-документ "daewdfq342r.ppt", що містить макрос та зображення-мініатюру з емблемою Національного університету оборони імені Івана Черняховського.
Зазначається, що у випадку відкриття документу та активації макросу на комп'ютері жертви буде створений виконуваний файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а також файл-ярлик, призначений для запуску останнього.
Файл "glkgh90kjykjkl650kj0.dll" класифіковано як шкідливу програму PicassoLoader, що типово використовується групою GhostWriter та призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.
Підписуйтесь на Telegram-канал delo.uaВ розглянутому інциденті PicassoLoader забезпечує завантаження і запуск .NET-дроперу, що здійснить дешифрування (AES) та запуск виконуваного файлу "PhotoMetadataHandler.dll", який, у свою чергу, виконає дешифрування та запуск Cobalt Strike Beacon на комп'ютері жертви.
Персистентність запуску згаданого DLL-файлу забезпечується або шляхом створення запланованого завдання ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), або за рахунок створення LNK-файлу в папці автозапуску ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").
Як вказують у CERT-UA, дати компіляції програм та створення чи модифікації зазначеного PPT-документу свідчать про те, що атаку ініційовано не пізніше 9 червня. Сервери управління шкідливою програмою розміщено в Росії, проте, доменні імена було "cховано" через сервіс Cloudflare.
В свою чергу, примітно, що у п'ятницю ж Офіс президента опублікував указ глави держави Володимира Зеленського №335, датований цим же днем 16 червня, про позбавлення Національного університету оборони, власне, імені Івана Черняховського, яке було йому присвоєно в 2013 році указом тодішнього президента Віктора Януковича.
Як повідомила пресслужба, президент такою узяв у п'ятницю участь в урочистостях з нагоди випуску слухачів цього університету: цьогоріч він підготував 317 випускників стратегічного, оперативно-тактичного й тактичного рівнів підготовки. Десятьом випускникам двох останніх рівнів Зеленський вручив дипломи з відзнакою, п'ятьом - нагрудні знаки. Зміна ж назви ВНЗ в повідомленні не коментується.
Черняховський, нагадаємо, був радянським воєначальником, що командував у 1942-1944 роках 60-ю армією на Воронезькому фронті, а згодом - військами 3-го Білоруського фронту. Двічі (1943 та 1944) отримував звання Героя Радянського Союзу, а у лютому 1945 року загинув на окупованій радянськими військами території Східної Прусії.
Іменем Черняховскього, що був уроженцем села Оксанина нинішньої Бабанської громади Черкаської області, зокрема, було названо і досі називаються вулиці в низці міст України, в тому числі в Києві та Одесі, хоча протягом минулого року в низці міст цю назву було змінено. Нещодавно, 1 червня, таке рішення було прийнято й міськрадою Чернігова (вулиця була названа на честь Пилипа Орлика).
Джерело фото: ua.depositphotos.com