Нові кіберзагрози для державних структур України

Кіберінциденти в Україні набувають нових масштабів, оскільки команда CERT-UA зафіксувала нові цілеспрямовані кібератаки на державні установи та підприємства оборонного сектору.

Як повідомила пресслужба Держспецзв'язку, угруповання UAC-0099 вдосконалило свої методи та почало використовувати нові шкідливі програми, зокрема MATCHBOIL, MATCHWOK і DRAGSTARE. Зловмисники реалізують багатоступеневі атаки, спрямовані на викрадення інформації та дистанційний контроль над системами.

Атака зазвичай починається з розсилки фішингових листів, які часто маскуються під офіційні документи, наприклад, судові повістки. Ці листи містять посилання на легітимний файлообмінник, клікнувши на яке, жертва завантажує ZIP-архів з шкідливим HTA-файлом. Це сигналізує про початок атаки.

При запуску HTA-файлу виконується VBScript, який створює два файли на комп'ютері жертви: один з HEX-кодом, інший – з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступним етапом є декодування даних PowerShell-скриптом, що формує виконуваний файл MATCHBOIL, який закріплюється в системі через власне заплановане завдання.

Основними цілями угруповання є державні органи України, підрозділи Сил оборони та підприємства оборонного комплексу.

Дослідження CERT-UA виявило три нові зразки шкідливого ПЗ, що свідчить про еволюцію тактик угруповання.

MATCHBOIL (Завантажувач) має на меті доставити основне шкідливе навантаження на комп'ютер жертви. Він збирає інформацію про систему для ідентифікації жертви на сервері управління та завантажує наступний компонент атаки, зберігаючи його як COM-файл.

MATCHWOK (Бекдор) дозволяє злочинцям виконувати PowerShell-команди на ураженій системі, отримуючи команди з сервера в зашифрованому вигляді.

DRAGSTARE (Викрадач) здійснює збір даних, включаючи системну інформацію, дані браузерів та файли з розширеннями .docx, .pdf, .txt.

Рекомендації від CERT-UA

Для протидії цим загрозам необхідно:

• Підвищити контроль за електронною поштою та навчити співробітників виявляти фішинг.
• Обмежити виконання скриптів і налаштувати політики безпеки.
• Впровадити моніторинг кінцевих точок (EDR).
• Забезпечити захист мережевого периметра за допомогою IDS/IPS.
• Підтримувати актуальність програмного забезпечення.