Группа реагирования на киберинциденты CERT-UA выявила новые угрозы, связанные с кибератаками на государственные учреждения и компании в оборонном секторе.

По данным пресс-службы Госспецсвязи, группировка UAC-0099 значительно модернизировала свои инструменты, введя новые вредоносные программы MATCHBOIL, MATCHWOK и DRAGSTARE. Злоумышленники реализуют сложную схему атаки, цель которой - кража данных и получение контроля над компьютерами.

Атака начинается с фишинговых писем, замаскированных под официальные документы, такие как «судебные повестки». Эти письма содержат ссылки на легитимные файлообменные сервисы. Переход по ссылке инициирует загрузку ZIP-архива с вредоносным HTA-файлом. Это первый этап атаки.

Запуск HTA-файла активирует VBScript, который создает на компьютере жертвы два файла: один с HEX-кодом и другой - с PowerShell-кодом. Для выполнения кода создается запланированное задание. Следующий этап - декодирование данных PowerShell-скриптом, который формирует исполняемый файл MATCHBOIL, закрепляющийся в системе через запланированное задание.

Основными целями группировки являются государственные органы Украины, подразделения Сил обороны и предприятия оборонно-промышленного комплекса.

Исследование CERT-UA выявило три новых образца вредоносного программного обеспечения, что свидетельствует о эволюции тактик группировки.

MATCHBOIL (Загрузчик) имеет целью доставить основное вредоносное содержимое на компьютер жертвы. Он собирает основную информацию о системе для идентификации жертвы на сервере управления, после чего загружает следующий компонент атаки.

MATCHWOK (Бекдор) позволяет удаленно выполнять произвольные команды PowerShell на зараженной системе, используя зашифрованные команды, которые выполняются через переименованный интерпретатор PowerShell.

DRAGSTARE (Крадущий) осуществляет комплексный сбор данных, включая системную информацию, данные браузеров и файлы с определенными расширениями, которые архивируются и отправляются на сервер злоумышленников.

Рекомендации от CERT-UA:

  • Обеспечьте контроль за входящей почтой и обучайте сотрудников выявлять фишинговые атаки.
  • Ограничьте выполнение скриптов и настройте политики безопасности.
  • Внедрите мониторинг конечных точек для выявления подозрительной активности.
  • Защитите сетевой периметр с помощью систем обнаружения вторжений.
  • Регулярно обновляйте программное обеспечение для защиты от уязвимостей.

6964 image for slide
zoom Created with Sketch Beta.