Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє у складі Держспецзв’язку, зафіксувала кібератаки за допомогою електронних листів із тематикою військовополонених.
Так, хакери розповсюджують електронні листи про нібито військовополонених із Курського напрямку, щоб вкрасти інформацію із пристроїв жертв.
Як повідомляє Держспецзв’язку, за цією кібератакою стоїть угрупування UAC-0020 (Vermin), пов’язане із силовими відомствами тимчасово окупованого Луганська.
У відправлених листах є фотографії із нібито військовополоненими та посилання для завантаження архіву spysok_kursk.zip. У ньому є файл із розширенням CHM під назвою: «Список ВП, що вибувають. Курськ».
Відкриття цього файлу призведе до завантаження на комп’ютер компонентів шпигунської програми SPECTR, а також нової програми FIRMACHAGENT, призначенням якої є вивантаження викрадених даних на сервер управління.
Ось що рекомендує зробити CERT-UA, щоб вберегтися від кіберзагрози:
- Обмежте права облікових записів користувачів шляхом видалення їх із груп «Administrators»/«Адміністратори», щоб скоротити поверхню атаки.
- Застосуйте відповідні політики (SRP/AppLocker) для унеможливлення запуску користувачами файлів із розширенням .CHM та powershell.exe.
Якщо ви підозрюєте, що стали жертвою кібератаки, то невідкладно зверніться до CERT-UA.
Раніше ProIT повідомляв, що проукраїнські хакери Cyber Anarchy Squad атакували російську компанію з інформаційної безпеки Avanpost.
Читайте також на нашому сайті: Понад 3000 облікових записів-«привидів» поширюють зловмисне ПЗ на GitHub.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
