Національна служба реагування на кіберінциденти CERT-UA зафіксувала нову хвилю цілеспрямованих кібератак, що націлені на державні установи та підприємства оборонного сектору.

Цю інформацію надала пресслужба Держспецзв'язку.

Атаки здійснюються групою UAC-0099, яка оновила свої методи та почала використовувати нові зразки шкідливого ПЗ, зокрема MATCHBOIL, MATCHWOK та DRAGSTARE. Зловмисники впроваджують багатоетапні схеми для викрадення даних та отримання віддаленого доступу до систем.

Процес атаки починається з розсилки фішингових листів, які часто маскуються під офіційні документи, наприклад, «судові повістки». Вони містять посилання на легітимний сервіси обміну файлами, яке, переходячи, ініціює завантаження ZIP-архіву з шкідливим HTA-файлом. Це стартує багатоетапну атаку.

Запуск HTA-файлу активує VBScript-код, який створює два файли на комп'ютері жертви: один з HEX-даними, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний етап – PowerShell-скрипт декодує дані та формує виконуваний файл MATCHBOIL, який закріплюється в системі через власне заплановане завдання.

Основними цілями угруповання є державні установи України, підрозділи Сил оборони та підприємства, що працюють на оборонну промисловість.

Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що вказує на еволюцію тактик угруповання.

MATCHBOIL (Завантажувач). Основне завдання – доставити на заражений комп'ютер головне шкідливе навантаження. MATCHBOIL збирає базову інформацію про систему для ідентифікації жертви на сервері управління. Далі він завантажує наступний компонент атаки та створює ключ у реєстрі для автоматичного запуску.

MATCHWOK (Бекдор). Дозволяє зловмисникам віддалено виконувати команди PowerShell на зараженій системі. Команди надходять у зашифрованому вигляді та виконуються через змінений інтерпретатор PowerShell. Бекдор має елементи антианалізу, перевіряючи систему на наявність інструментів для аналізу трафіку.

DRAGSTARE (Викрадач). Він виконує збір даних, зокрема:

• системна інформація: дані про ОС, процесори, пам'ять;
• дані браузерів: викрадає аутентифікаційні дані з Chrome та Firefox;
• файли: виконує пошук файлів з певними розширеннями та надсилає їх на сервер зловмисників.

РЕКОМЕНДАЦІЇ ВІД CERT-UA

Для протидії цим загрозам слід вжити таких заходів:

• Покращити контроль за вхідними листами.
• Обмежити виконання небезпечних скриптів.
• Впровадити моніторинг систем.
• Забезпечити захист мережі.
• Регулярно оновлювати програмне забезпечення.