НБУ курс:

USD

41,29

+0,03

EUR

43,47

--0,10

Готівковий курс:

USD

41,60

41,55

EUR

44,05

43,81

В Україні зафіксували кібератаку з "приманкою", замаскованою під статтю відомого ЗМІ

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації виявила кіберзагрозу з боку хакерського угрупування APT28 (також відоме як Pawn Storm, Fancy Bear та BlueDelta) проти українських організацій.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронювати участь

Як ідеться у повідомленні, її намагалися здійснити із застосуванням експлойтів для Roundcube (програмне забезпечення для вебпошти) та за допомогою розсилання електронних листів із актуальними новинами щодо ситуації в Україні.

Зокрема, один із електронних листів з темою "Новини України" був отриманий з адреси ukraine_news@meta[.]ua та містив контент-приманку, замаскований під статтю видання NV (nv.ua), а також експлойт для вразливості в Roundcube CVE-2020-35730 (XSS) і відповідний JavaScript-код, призначений для завантаження і запуску додаткових JavaScript-файлів: "q.js" та "e.js".

Так, файл "e.js" забезпечує створення фільтру "default filter" для перенаправлення вхідних електронних листів на сторонню електронну адресу, а також здійснює ексфільтрацію за допомогою HTTP POST-запитів: адресної книги, значень сесії (Cookie) та електронних повідомлень жертви. В свою чергу "q.js" містить експлойт для вразливості в Roundcube CVE-2021-44026 (SQLi), за допомогою якого здійснюється ексфільтрація інформації з бази даних Roundcube.

Додатково виявлено програмний код "c.js", що містить експлойт для вразливості CVE-2020-12641 та забезпечує виконання команд на поштовому сервері.

Загалом, подібні електронні листи було відправлено на адреси більше ніж 40 українських організацій. При цьому в CERT-UA наголошують, що реалізації загрози сприяло використання застарілої версії Roundcube (1.4.1). Спробу ж реалізації кіберзагрози, як повідомляється, допоміг виявити оперативний обмін інформацією з фахівцями компанії Recorded Future.

Нагадаємо також, що напередодні в CERT-UA повідомляли про шахрайську активність щодо користувачів, що використовують електронну пошту сервісу Ukr.net.

Джерело фото: ua.depositphotos.com