Група реагування на кіберінциденти CERT-UA виявила нові загрози, пов'язані з кібератаками на державні установи та компанії в оборонному секторі.

За даними пресслужби Держспецзв'язку, угруповання UAC-0099 суттєво модернізувало свої інструменти, ввівши нові шкідливі програми MATCHBOIL, MATCHWOK та DRAGSTARE. Зловмисники реалізують складну схему атаки, метою якої є викрадення даних і отримання контролю над комп'ютерами.

Атака починається з фішингових листів, які маскуються під офіційні документи, такі як «судові повістки». Ці листи містять посилання на легітимні файлообмінники. Перехід за цим посиланням ініціює завантаження ZIP-архіву з шкідливим HTA-файлом. Це перший етап атаки.

Запуск HTA-файлу активує VBScript, який створює на комп'ютері жертви два файли: один з HEX-кодом, інший – з PowerShell-кодом. Для виконання коду створюється заплановане завдання. Наступний етап – декодування даних PowerShell-скриптом, який формує виконуваний файл MATCHBOIL, що закріплюється в системі через заплановане завдання.

Основними цілями угруповання є державні органи України, підрозділи Сил оборони та підприємства оборонно-промислового комплексу.

Дослідження CERT-UA виявило три нових зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик угруповання.

MATCHBOIL (Завантажувач) має на меті доставити основне шкідливе навантаження на комп'ютер. Він збирає базову інформацію про систему для ідентифікації жертви на сервері управління, після чого завантажує наступний компонент атаки.

MATCHWOK (Бекдор) надає можливість віддаленого виконання команд PowerShell на ураженій системі, використовуючи зашифровані команди, які виконуються через перейменований інтерпретатор PowerShell.

DRAGSTARE (Викрадач) здійснює збір даних, включаючи системну інформацію, дані браузерів та файли з певними розширеннями, які архівуються і відправляються на сервер зловмисників.

Рекомендації від CERT-UA:

  • Забезпечте контроль за вхідними листами і навчайте співробітників ідентифікувати фішингові атаки.
  • Обмежте виконання скриптів і налаштуйте політики безпеки.
  • Впровадьте моніторинг кінцевих точок для виявлення підозрілої активності.
  • Захистіть мережевий периметр за допомогою систем виявлення вторгнень.
  • Регулярно оновлюйте програмне забезпечення для захисту від вразливостей.

6964 image for slide
zoom Created with Sketch Beta.