Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нові кібератаки на державні органи. Для ураження систем зловмисники використовують багатоетапний ланцюжок, який починається з надсилання шкідливих документів через месенджер Signal.

Метою атак є отримання віддаленого доступу до комп'ютерів для шпигунства та викрадення даних.

Як це працює?

1. Атака починається з того, що зловмисник, добре обізнаний щодо своєї цілі, надсилає через Signal документ Microsoft Word (наприклад, «Акт.doc») із вбудованим макросом.
2. Після відкриття документа та активації макросу на комп'ютері запускається прихований механізм зараження, шкідливий код закріплюється в системі.
3. Наступним кроком у пам'яті комп'ютера активується компонент хакерського фреймворку COVENANT. Він використовує API легітимного хмарного сервісу Koofr для отримання команд від зловмисників.
4. Через COVENANT на комп'ютер завантажується та запускається основне шпигунське програмне забезпечення –  бекдор BEARDSHELL. Ця програма надає хакерам повний контроль над ураженим пристроєм.

CERT-UA пов'язує цю активність із хакерським угрупованням UAC-0001 (APT28), яке контролюється російськими спецслужбами.

Держспецзв'язку наголошує на важливості кібергігієни. Будьте пильними, не відкривайте підозрілі файли та не вмикайте макроси в документах, отриманих навіть через месенджери. Про будь-які підозрілі інциденти просимо повідомляти CERT-UA.

CERT-UA вдячна усім суб’єктам кіберзахисту за своєчасне інформування та активну участь в обміні інформацією, що дозволяє оперативно реагувати на подібні інциденти. У разі виявлення підозрілих інцидентів просимо негайно звертатися до CERT-UA: incidents@cert.gov.ua, тел.+38 (044) 281-88-25.

Більше деталей – на сайті CERT-UA.

Джерело: https://cip.gov.ua/ua/news/apt28-atakuye-derzhorgani-ukrayini-cherez-signal-vikoristovuyuchi-shkidlive-programne-zabezpechennya