Хакери з Armageddon розсилають вірус під виглядом "бази адрес військових злочинців РФ" - Держспецзв'язку

Фото: Depositphotos
Фото: Depositphotos

Урядова команда реагування на комп'ютерні надзвичайні події (CERT-UA), що діє у складі Держслужби спецзв'язку та захисту інформації, повідомляє про розсилку в українські державні органи листів зі шкідливим файлом, яку пов'язують з діяльністю угруповання UAC-0010 (Armageddon).

Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронювати участь

Зазначається, що темою таких листів зазначено "Інформацію про військових злочинців РФ", а в листі міститься HTML-файл "Військові злочинці РФ.htm", відкриття якого призводить до створення на комп'ютері RAR-архіву "Viyskovi_zlochinci_RU.rar".

У ньому, у свою чергу, міститься файл-ярлик "Військові-злочинці, що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних мережах).lnk", відкриття якого призводить до завантаження HTA-файлу, що містить код мовою VBScript, який забезпечує завантаження та запуск powershell-скрипта "get.php" (GammaLoad.PS1).

"Завданням останнього є визначення унікального ідентифікатора комп'ютера (на основі імені комп'ютера та серійного номера системного диска), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду", - повідомили в CERT-UA, не уточнюючи, в чому саме полягає дія програми, що запускається таким чином.

У Держспецзв'язку також звертають увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, "адже наразі рівень їх детектування низький".

Нагадаємо також, що днями урядова команда реагування на кібератаки повідомила про розсилку шкідливої програми Mars Stealer через електронні листи від імені Міністерства освіти.

Двома місяцями раніше в CERT-UA повідомляли про кібератаку, вчинену від імені держпідприємства "Адміністрація морських портів України", яку там також пов'язали з діяльністю групи Armageddon.

Зазначимо, що в листопаді 2021 року Служба безпеки України заявила, що в Armageddon входять співробітники Федеральної служби безпеки Росії у Криму, які до окупації півострова працювали у самій СБУ. Спочатку підозри було заочно пред'явлено п'ятьом людям, проте через тиждень СБУ повідомила, що у справі проходять підозрюваними вже вісім осіб.

При цьому ще у березні минулого року українська спецслужба заявила, що заблокувала масштабну кібератаку на українські органи влади з боку Armageddon.

Джерело фото: ua.depositphotos.com