НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Готівковий курс:

USD

41,65

41,58

EUR

44,12

43,95

У CERT-UA розповіли про вірус з логотипом Нацуніверситету оборони. Тим часом імені Черняховського заклад позбавили

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA), що діє при Держслужбі спецзв’язку та захисту інформації, виявила та дослідила факт кібератаки групи UAC-0057 (GhostWriter) на одну із державних організацій України.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронювати участь

Як зазначається у повідомленнях цих структур, спеціалісти виявили PPT-документ "daewdfq342r.ppt", що містить макрос та зображення-мініатюру з емблемою Національного університету оборони імені Івана Черняховського.

Зазначається, що у випадку відкриття документу та активації макросу на комп'ютері жертви буде створений виконуваний файл "%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll", а також файл-ярлик, призначений для запуску останнього.

Файл "glkgh90kjykjkl650kj0.dll" класифіковано як шкідливу програму PicassoLoader, що типово використовується групою GhostWriter та призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.

В розглянутому інциденті PicassoLoader забезпечує завантаження і запуск .NET-дроперу, що здійснить дешифрування (AES) та запуск виконуваного файлу "PhotoMetadataHandler.dll", який, у свою чергу, виконає дешифрування та запуск Cobalt Strike Beacon на комп'ютері жертви.

Персистентність запуску згаданого DLL-файлу забезпечується або шляхом створення запланованого завдання ("MicrosoftEdgeUpdateTaskMachineUA%GUID%"), або за рахунок створення LNK-файлу в папці автозапуску ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Mcirosoft Edge Update.lnk").

Як вказують у CERT-UA, дати компіляції програм та створення чи модифікації зазначеного PPT-документу свідчать про те, що атаку ініційовано не пізніше 9 червня. Сервери управління шкідливою програмою розміщено в Росії, проте, доменні імена було "cховано" через сервіс Cloudflare.

В свою чергу, примітно, що у п'ятницю ж Офіс президента опублікував указ глави держави Володимира Зеленського №335, датований цим же днем 16 червня, про позбавлення Національного університету оборони, власне, імені Івана Черняховського, яке було йому присвоєно в 2013 році указом тодішнього президента Віктора Януковича.

Як повідомила пресслужба, президент такою узяв у п'ятницю участь в урочистостях з нагоди випуску слухачів цього університету: цьогоріч він підготував 317 випускників стратегічного, оперативно-тактичного й тактичного рівнів підготовки. Десятьом випускникам двох останніх рівнів Зеленський вручив дипломи з відзнакою, п'ятьом - нагрудні знаки. Зміна ж назви ВНЗ в повідомленні не коментується.

Черняховський, нагадаємо, був радянським воєначальником, що командував у 1942-1944 роках 60-ю армією на Воронезькому фронті, а згодом - військами 3-го Білоруського фронту. Двічі (1943 та 1944) отримував звання Героя Радянського Союзу, а у лютому 1945 року загинув на окупованій радянськими військами території Східної Прусії.

Іменем Черняховскього, що був уроженцем села Оксанина нинішньої Бабанської громади Черкаської області, зокрема, було названо і досі називаються вулиці в низці міст України, в тому числі в Києві та Одесі, хоча протягом минулого року в низці міст цю назву було змінено. Нещодавно, 1 червня, таке рішення було прийнято й міськрадою Чернігова (вулиця була названа на честь Пилипа Орлика).

Джерело фото: ua.depositphotos.com