Нова Загроза: Цілеспрямовані Кібератаки на Державні Системи

Команда реагування CERT-UA виявила нову серію цілеспрямованих кібератак на державні установи та підприємства оборонної промисловості.

Згідно з інформацією від пресслужби Держспецзв'язку, атаки проводяться угрупуванням UAC-0099, яке оновило свої інструменти і впровадило нові шкідливі програми, такі як MATCHBOIL, MATCHWOK і DRAGSTARE. Зловмисники використовують складний ланцюг атак, спрямований на викрадення даних і отримання віддаленого доступу до систем.

Атака починається з надсилання фішингових листів, які маскуються під офіційні документи, наприклад, судові повістки. Листи містять посилання на легітимний файлообмінник, перехід за яким запускає завантаження ZIP-архіву з шкідливим HTA-файлом. Це є початком складної атаки.

Запуск HTA-файлу активує VBScript-код, який створює два файли на комп'ютері жертви: один з HEX-даними та інший з PowerShell-кодом. Для забезпечення виконання коду створюється заплановане завдання. Далі PowerShell-скрипт декодує дані і формує виконавчий файл MATCHBOIL, який закріплюється в системі через планове завдання.

Основними цілями угрупування є державні органи України, підрозділи Сил оборони та підприємства, що працюють в інтересах оборонної промисловості.

Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик та процедур угрупування.

MATCHBOIL (Завантажувач) відповідає за доставку основного шкідливого навантаження на комп'ютер жертви. Він збирає базову інформацію про систему, щоб ідентифікувати жертву на сервері управління і завантажити наступний компонент атаки, зберігаючи його як COM-файл.

MATCHWOK (Бекдор) надає зловмисникам можливість виконувати PowerShell-команди на системі жертви, причому команди отримуються з сервера управління в зашифрованому вигляді.

DRAGSTARE (Викрадач) виконує збір даних, включаючи системну інформацію та аутентифікаційні дані з браузерів, а також виконує пошук та архівування файлів з важливими розширеннями.

РЕКОМЕНДАЦІЇ ВІД CERT-UA

Для протидії загрозі необхідно:

• Посилити контроль за вхідними листами та навчити співробітників виявляти фішинг.
• Обмежити виконання скриптів та налаштувати політики безпеки.
• Впровадити моніторинг кінцевих точок для відстеження підозрілої активності.
• Забезпечити захист мережевого периметра з використанням IDS/IPS.
• Регулярно оновлювати програмне забезпечення для захисту від вразливостей.