В Україні зафіксовано нову хвилю кіберзагроз, що спрямовані на державні організації України через масове розповсюдження шкідливих електронних листів. Громадянам слід особливо уважно ставитись до фальшивих листів, пов'язаних із сервісами Amazon, Microsoft.
Про це пише CERT-UA. Зловмисники використовують теми, пов'язані з інтеграцією сервісів Amazon, Microsoft та впровадженням архітектури "нульової довіри" (Zero trust architecture, ZTA), щоб заманити своїх жертв у пастку.
Один з основних механізмів атаки включає використання фальшивих електронних листів, які відправляються від імені нібито Генштабу Збройних Сил України. У таких листах надається посилання на сторонній вебсайт, де пропонується завантажити "наказ" або інші документи. Однак замість безпечних файлів користувач завантажує на свій комп'ютер виконуваний файл, що активує шкідливу програму RomCom.
CERT-UA зазначає можливий зв'язок цієї активності з діяльністю хакерської групи під назвою Tropical Scorpius, яка також відома як UNC2596. Вона відповідальна за розповсюдження Cuba Ransomware – одного з найбільш небезпечних типів програм-здирників, що блокує доступ до файлів користувачів і вимагає викуп за їх відновлення. Група використовує шкідливу програму RomCom, яка забезпечує віддалений доступ до системи жертви, дозволяючи зловмисникам красти інформацію та контролювати інфіковані пристрої.
Шкідлива програма, яка завантажується у результаті натискання на шкідливе посилання, включає декілька етапів зараження системи. Після завантаження файла "AcroRdrDCx642200120169_uk_UA.exe", який виглядає як звичайне оновлення програмного забезпечення, на комп'ютері запускається програма, що активує файл "rmtpak.dll". Цей файл дозволяє хакерам отримати доступ до внутрішніх систем жертви, здійснювати віддалене керування комп'ютером, копіювати дані та встановлювати додаткові шкідливі програми.
Для виявлення потенційних загроз на комп'ютерах жертв CERT-UA публікує індикатори компрометації, що включають назви файлів, хеші та IP-адреси, пов'язані з кібератакою. Зокрема, серед індикаторів компрометації було зафіксовано файли з назвами "Наказ_309.pdf" та "AcroRdrDCx642200120169_uk_UA.exe", а також IP-адреси, пов'язані зі шкідливою активністю: 45[.]158.38.74, 69[.]49.231.103 та інші.
Щоб захистити свої системи, спеціалісти з кібербезпеки радять вживати низку технічних заходів. Зокрема:
блокування RDP-з'єднань – закриття можливості віддаленого доступу через RDP протокол з зовнішніх джерел;
блокування шкідливих файлів – налаштування поштових шлюзів для блокування файлів ".rdp", які можуть бути використані для віддаленого підключення;
мережевий моніторинг – перевірка мережевого трафіку на наявність підозрілих з'єднань з вказаними у попередженнях CERT-UA IP-адресами.
У разі виявлення індикаторів компрометації або підозрілої активності, варто негайно звернутися до ІТ-відділу або спеціалістів з кібербезпеки. Важливо ізолювати інфіковані системи та негайно розпочати процес перевірки всієї мережі на наявність інших потенційних загроз. Крім того, необхідно дотримуватись основних правил безпеки, зокрема регулярного оновлення програмного забезпечення та уникнення відкриття підозрілих електронних листів.