- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
В Україні зафіксували нову кібератаку від імені Національного університету оборони
Урядова команда реагування на комп'ютерні надзвичайні події (CERT-UA), що діє при Держслужбі спецзв’язку та захисту інформації, виявила та дослідила чергову кібератаку групи UAC-0057 від імені нібито Національного університету оборони України.
Як ідеться у повідомленні, фахівці виявили файл "Збірник_тез_НУОУ_23.rar", який у випадку відкриття призведе до створення на комп'ютері жертви документа-приманки "16872_16_2023_03049.pdf" під назвою "Всеохоплююча оборона: досвід протидії збройній агресії рф проти України".
При цьому буде запущено JavaScript-код, який призведе до зараження комп'ютеру шкідливою програмою Cobalt Strike Beacon. Зазначається, що цей JavaScript-файл фактично є варіантом реалізації функціоналу раніше використовуваного лоадеру PicassoLoader.
Раніше у CERT-UA повідомляли про його використання, зокрема, у минулій кібератаці з використанням PPT-документу, який містив емблему того ж Нацуніверситету оборони. Вона, нагадаємо, співпала з позбавленням цього вишу президентом Володимиром Зеленським імені Івана Черняховського.
У ДСЗЗІ також вказують, що зловмисники угрупування UAC-0057 часто використовують для кібератак проти держорганів електронні листи на тему "рахунків" чи "переказів". Наприклад, це може бути розсилання XLS-документів із назвою "PerekazF17304072023.xls" та "Rahunok05072023.xls", які міститимуть макрос, що здійснює запуск шкідливої програми PicassoLoader.
Це угруповання також раніше розсилало фішингові листи начебто від імені техпідтримки. Наприклад, це може бути електронний лист з темою "Помічена підозріла активність @UKR.NET" та додатком у вигляді PDF-файлу з назвою "Попередження про безпеку.pdf".
Джерело фото: ua.depositphotos.com