CERT-UA выявила масштабные кибератаки на оборонные предприятия: как действуют злоумышленники

Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA выявила и изучила новую серию целенаправленных кибератак на государственные органы и предприятия оборонно-промышленного комплекса.

Согласно данным Госспецсвязи, атаки осуществляет группировка UAC-0099, которая существенно обновила свой инструментарий и начала использовать новые вредоносные программы. Злоумышленники применяют многоэтапную цепочку поражения, направленную на кражу данных и получение удаленного контроля над системами.

'Атака начинается с рассылки фишинговых электронных писем, которые часто маскируются под официальные документы, например, 'судебные повестки'. Письма содержат ссылки (иногда сокращенные) на легитимный файлообменный сервис. Переход по ним инициирует загрузку ZIP-архива, который содержит вредоносный HTA-файл. Это начало многоэтапной атаки', - пояснили специалисты.

Выполнение HTA-файла запускает VBScript-код. Этот скрипт создает на компьютере жертвы два файла: один с HEX-кодированными данными, другой – с PowerShell-кодом. Для обеспечения выполнения этого кода создается запланированное задание. Следующий шаг – PowerShell-скрипт декодирует данные и формирует из них исполняемый файл загрузчика MATCHBOIL, который закрепляется в системе через собственное запланированное задание.

Основными целями группировки являются органы государственной власти Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонно-промышленного комплекса.

Украинские государственные органы и предприятия оборонно-промышленного комплекса стали жертвами новой серии целенаправленных кибератак с использованием фишинга и вредоносных программ. Атаки, проведенные группировкой UAC-0099, используют новые методы и инструменты для кражи данных и получения контроля над системами, что создает серьезные угрозы для национальной кибербезопасности.