Новые киберугрозы для государственных структур Украины

Киберинциденты в Украине принимают новые масштабы, так как команда CERT-UA зафиксировала новые целенаправленные кибератаки на государственные учреждения и предприятия оборонного сектора.

Как сообщила пресс-служба Госспецсвязи, группировка UAC-0099 усовершенствовала свои методы и начала использовать новые вредоносные программы, такие как MATCHBOIL, MATCHWOK и DRAGSTARE. Злоумышленники осуществляют многоступенчатые атаки, направленные на кражу информации и дистанционное управление системами.

Атака, как правило, начинается с рассылки фишинговых писем, часто маскирующихся под официальные документы, например, судебные повестки. Эти письма содержат ссылки на легитимные файлообменники, и, кликнув по ним, жертва загружает ZIP-архив с вредоносным HTA-файлом, что сигнализирует о начале атаки.

При запуске HTA-файла выполняется VBScript, который создаёт два файла на компьютере жертвы: один с HEX-кодом, другой – с PowerShell-кодом. Для обеспечения выполнения этого кода создаётся запланированное задание. Следующий шаг – декодирование данных PowerShell-скриптом, который формирует исполняемый файл MATCHBOIL, который закрепляется в системе через собственное запланированное задание.

Основными целями группировки являются государственные органы Украины, подразделения Сил обороны и предприятия, работающие в интересах оборонного комплекса.

Исследование CERT-UA выявило три новых образца вредоносного ПО, что свидетельствует об эволюции тактик группировки.

MATCHBOIL (Загрузчик) предназначен для доставки основного вредоносного полезного груза на компьютер жертвы. Он собирает информацию о системе для идентификации жертвы на сервере управления и загружает следующий компонент атаки, сохраняя его как COM-файл.

MATCHWOK (Обратная дверь) позволяет злоумышленникам удаленно выполнять произвольные PowerShell-команды на зараженной системе, получая команды с сервера в зашифрованном виде.

DRAGSTARE (Крадущий данные) осуществляет комплексный сбор данных, включая системную информацию, данные браузеров и файлы с расширениями .docx, .pdf, .txt.

Рекомендации от CERT-UA

Для противодействия этим угрозам необходимо:

• Усилить контроль за входящей корреспонденцией и обучить сотрудников выявлять фишинг.
• Ограничить выполнение скриптов и настроить политики безопасности.
• Внедрить мониторинг конечных точек (EDR).
• Обеспечить защиту сетевого периметра с помощью IDS/IPS.
• Поддерживать актуальность программного обеспечения.