- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
В Україні зафіксували кібератаку з "приманкою", замаскованою під статтю відомого ЗМІ
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації виявила кіберзагрозу з боку хакерського угрупування APT28 (також відоме як Pawn Storm, Fancy Bear та BlueDelta) проти українських організацій.
Як ідеться у повідомленні, її намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.
Зокрема, один із електронних листів з темою "Новини України" був отриманий з адреси ukraine_news@meta[.]ua та містив контент-приманку, замаскований під статтю видання NV (nv.ua), а також експлойт для вразливості в Roundcube CVE-2020-35730 (XSS) і відповідний JavaScript-код, призначений для завантаження і запуску додаткових JavaScript-файлів: "q.js" та "e.js".
Так, файл "e.js" забезпечує створення фільтру "default filter" для перенаправлення вхідних електронних листів на сторонню електронну адресу, а також здійснює ексфільтрацію за допомогою HTTP POST-запитів: адресної книги, значень сесії (Cookie) та електронних повідомлень жертви. В свою чергу "q.js" містить експлойт для вразливості в Roundcube CVE-2021-44026 (SQLi), за допомогою якого здійснюється ексфільтрація інформації з бази даних Roundcube.
Підписуйтеся на YouTube-канал delo.uaДодатково виявлено програмний код "c.js", що містить експлойт для вразливості CVE-2020-12641 та забезпечує виконання команд на поштовому сервері.
Загалом, подібні електронні листи було відправлено на адреси більше ніж 40 українських організацій. При цьому в CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1). Спробу ж реалізації кіберзагрози, як повідомляється, допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.
Нагадаємо також, що напередодні в CERT-UA повідомляли про шахрайську активність щодо користувачів, що використовують електронну пошту сервісу Ukr.net.
Джерело фото: ua.depositphotos.com