Хакеры атаковали госорганы и рассылают украинцам письма из сломанных ящиков.
Правительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала новую кибератаку направленную на государственные органы. Хакеры сломали ящики госучреждений и рассылают с их помощью электронные письма, содержащие опасный документ, сообщает CERT-UA. Об этом информируют Экономические Новости со ссылкой на 24 канал.
Из скомпрометированных электронных ящиков госорганов хакеры рассылают электронные письма с опасным содержимым. Характерной особенностью таких писем является тема “Объединенный официальный отчет о гуманитарной ситуации. Украина”.
Внутри электронного сообщения прикреплен файл под названием “Гуманитарная катастрофа Украины с 24 февраля 2022 года” с расширением XLS. Следует отметить, что такое расширение имеют документы-таблицы Microsoft Excel.
Какой вред может нанести опасный файл
В этом документе содержатся макросы, которые приводят к запуску файла baseupd.exe. Это, в свою очередь, ведет к заражению компьютера вирусом Cobalt Strike Beacon.
Cobalt Strike – это коммерческий инструмент, созданный для пентестеров и red team (специалисты, занимающиеся оценкой защищенности компьютерных систем) и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, эта программа давно используется хакерами для атак. Следует заметить, что Cobalt Strike не доступен обычным мелким хакерам, обычно им пользуются правительственные APT-группировки (подразделения хакеров, создающих постоянную серьезную угрозу противнику или цели).
Как уберечься от кибератаки
Если вы заметили на своем почтовом ящике письмо с темой и названием файла указанным выше – ни в коем случае не загружайте и не открывайте этот документ. Лучше всего немедленно удалить его из ящика, чтобы не наткнуться на него еще раз ошибочно.
Также CERT-UA настоятельно рекомендует госучреждениям ввести использование многофакторной аутентификации для электронной почты. В CERT-UA отмечают, что, основываясь на использованных тактиках, хакерскую атаку связывают с группировкой UAC-0056. Сообщается, что специалисты ведомства принимают меры по установлению обстоятельств компрометации учетных записей электронной почты, а также блокировку сервера управления вредоносной программой.
Это хакерская группа, наиболее широко известная, как UNC2589 (Mandiant) и TA471 (Proofpoint). Считается, что именно эти хакеры причастны к действиям WhisperGate в начале января 2022 года. Речь идет о кибератаке на государственные учреждения Украины, которая предусматривала уничтожение данных. Согласно анализу, хакеры потенциально могли создавать инфраструктуру для кампаний GrimPlant и GraphSteel, начиная с декабря 2021 года.