Вам повістка в суд: шахраї шлють до українських держорганів та підприємств фішингові листи
Шахрайські листи містять посилання на легітимний файлообмінний сервіс, перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл, це початок багатоетапної атаки
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила та дослідила нову серію цілеспрямованих кібератак на державні органи та підприємства оборонно-промислового комплексу. Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми MATCHBOIL, MATCHWOK та DRAGSTARE. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами. Про це повідомляє Кіберполіція.
Атака починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, «судові повістки». Листи містять посилання (іноді скорочене) на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки.
Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп'ютері жертви два файли: один з HEX-кодованими даними, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний крок – PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера MATCHBOIL, який закріплюється в системі через власне заплановане завдання. Основними цілями угруповання є органи державної влади України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонно-промислового комплексу. Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик, технік та процедур угруповання.
MATCHBOIL (Завантажувач)
Головне завдання програми – доставити на уражений комп'ютер основне шкідливе навантаження. MATCHBOIL збирає базову інформацію про систему (ID процесор, серійний номер BIOS, ім'я користувача, MAC-адресу) для ідентифікації жертви на сервері управління. Далі він завантажує наступний компонент атаки, зберігає його як COM-файл та створює ключ у реєстрі для забезпечення його автоматичного запуску.
MATCHWOK (Бекдор)
Він надає зловмисникам можливість віддалено виконувати довільні PowerShell-команди на ураженій системі. Команди надходять із сервера управління в зашифрованому вигляді та виконуються через інтерпретатор PowerShell, який програма попередньо перейменовує та переміщує. Бекдор має елементи антианалізу, зокрема перевіряє систему на наявність запущених процесів інструментів на кшталт Wireshark, Fiddler чи Procmon.
DRAGSTARE (Викрадач)
Він виконує комплексний збір даних:
- системна інформація: ім'я комп'ютера, дані про ОС, процесори, пам'ять, диски, мережеві інтерфейси;
- дані браузерів: викрадає аутентифікаційні дані (логіни, паролі, cookie) з Chrome та Firefox, використовуючи DPAPI для розшифрування;
- файли: здійснює рекурсивний пошук на робочому столі, в документах та завантаженнях файлів з розширеннями .docx, .doc, .xls, .pdf, .ovpn, .rdp, .txt. знайдені файли архівуються та відправляються на сервер зловмисників.
Рекомендації від CERT-UA
Для протидії описаній загрозі та посилення загального рівня кіберзахисту необхідно вжити таких заходів:
- Посилюйте контроль за вхідною кореспонденцією. Навчайте співробітників ідентифікувати фішингові листи та з особливою обережністю ставитися до листів із посиланнями на завантаження архівів.
- Обмежте виконання скриптів. Налаштуйте політики безпеки для блокування або моніторингу виконання HTA-файлів та VBS/PowerShell скриптів, особливо запущених з нетипових локацій.
- Впроваджуйте моніторинг кінцевих точок (EDR). Відстежуйте створення нових запланованих завдань, записів у ключах автозапуску реєстру та підозрілу активність з боку системних утиліт (powershell.exe, mshta.exe).
- Забезпечте захист мережевого периметра. Використовуйте сучасні системи виявлення вторгнень (IDS/IPS) та проксі-сервери для фільтрації та аналізу трафіку.
- Підтримуйте актуальність програмного забезпечення. Регулярно оновлюйте операційні системи, браузери та антивірусні бази для захисту від відомих вразливостей.
Докладніше про шахрайську схему і захист від неї, читайте за посиланням.
Що таке фішинг?
Фішинг — це вид шахрайства, коли зловмисники обманом змушують жертву розкрити особисту інформацію (паролі, дані карток, логіни) або встановити шкідливе програмне забезпечення. Шахраї створюють підроблені сайти, електронні листи чи повідомлення, які виглядають як офіційні, щоб викрасти дані. Фішинг часто використовує психологічний тиск, наприклад, терміновість чи страх.
- Підроблений лист від банку. Ви отримуєте email із логотипом вашого банку, де просять перейти за посиланням і «оновити дані» через «проблему з рахунком». Посилання веде на фальшивий сайт, який краде ваші логін і пароль.
- SMS із підозрілим посиланням: Повідомлення типу «Ваша картка заблокована, перейдіть за посиланням для розблокування» містить URL, що веде на сайт, який імітує офіційний банківський портал.
- Фальшиве повідомлення в месенджері: Вам пишуть із «офіційного акаунта» сервісу (наприклад, OLX чи ПриватБанк) і просять підтвердити дані через посилання, яке веде на шкідливий сайт.
- Підроблені сторінки в соцмережах: Ви отримуєте сповіщення про «порушення правил» у Facebook чи Instagram і посилання для «відновлення акаунта», яке краде ваш пароль.
Стежте за нами у Viber
ЧИТАЙТЕ ТАКОЖ:
- Права без іспитів: чим загрожує майбутнім водіям підступна пропозиція від шахраїв
- Киянин втратив з картки Ощадбанку 25 тисяч гривень після спроби отримати грошову допомогу - що вирішив суд
- Абоненту Київстар перевипустили SIM-картку та оформили кредитів на загальну суму 41 200 гривень - що вирішив суд
- Угруппування z-хакерів Killnet повернулося: погрожують Європі та Україні цифровим апокаліпсисом
