- Категорія
- ІТ та Телеком
- Дата публікації
У Держспецзв’язку попередили про фейковий сайт "Світового конґресу українців" зі шкідливим файлом щодо саміту НАТО
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації виявила шкідливий сайт, що копіює англійську версію вебресурсу міжнародної неурядової організації "Світовий конґрес українців". Як ідеться в повідомленні структури, фальшивий сайт має адресу ukrainianworldcongress.info, хоча справжній - ukrainianworldcongress.org.
На першому вебресурсі розміщено два DOCX-документи - "Overview_of_UWCs_UkraineInNATO_campaign.docx" та "Letter_NATO_Summit_Vilnius_2023_ENG(1).docx", кожен з яких містить у своїй структурі RTF-документ "afchunk.rtf", в якому знаходяться шкідливі URL-адреса та UNC-шлях.
"Відкриття цих документів та успішна експлуатація відповідних вразливостей ініціює ланцюг ураження, який, серед іншого, передбачає взаємодію з інфраструктурою хакерів з використанням SMB та HTTP, завантаження і запуск CHM-файлу, який містить HTM- та MHT- (Web Archive) файли, завантаження і запуск URL- (InternetShortcut) файлу, завантаження і запуск VBS-файлу", - йдеться в повідомленні.
При цьому, згаданий VBScript-файл забезпечує можливість запуску EXE, DLL, PS1, CPL файлів, що розміщено на SMB-ресурсі. Зазначається, що на момент дослідження CERT-UA отримала й дослідила файли "testdll.dll", "testdll64.cpl" та "calc.exe".
Підписуйтесь на Telegram-канал delo.uaПерші два ознак шкідливого програмного забезпечення не містять, однак "calc.exe" класифіковано як шкідливу програму (лоадер) MagicSpell, призначенням якого є завантаження, дешифрування, забезпечення персистентності та запуск іншого виконуваного файлу.
Аналіз вмісту SMB-ресурсу дозволив встановити 195 IP-адрес, що використовувалися комп'ютерами, з яких здійснювалася взаємодія з описаною інфраструктурою. Проте аналіз IP-адрес свідчить про їх географічну розподіленість (близько 30 різних країн) та приналежність більшості з них до VPN-сервісів, дослідницьких організацій тощо. Зазначена активність відстежується за ідентифікатором UAC-0168.
"Використання імені громадської організації "Світовий конґрес українців", а також тематики членства України в Організації Північноатлантичного договору як приманки може свідчити про те, що описана кібератака має відношення до саміту НАТО, що проходитиме 11-12 липня 2023 року у Вільнюсі (Литовська Республіка)", - додають у CERT-UA.
Нагадаємо також, що нещодавно там зафіксували кібератаку з "приманкою", замаскованою під статтю відомого українського ЗМІ, а також шахрайську активність щодо користувачів сервісу електронної пошти Ukr.net.