
APT28 атакує держоргани України через Signal, використовуючи шкідливе програмне забезпечення
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нові кібератаки на державні органи. Для ураження систем зловмисники використовують багатоетапний ланцюжок, який починається з надсилання шкідливих документів через месенджер Signal.
Метою атак є отримання віддаленого доступу до комп'ютерів для шпигунства та викрадення даних.
Як це працює?
- Атака починається з того, що зловмисник, добре обізнаний щодо своєї цілі, надсилає через Signal документ Microsoft Word (наприклад, «Акт.doc») із вбудованим макросом.
- Після відкриття документа та активації макросу на комп'ютері запускається прихований механізм зараження, шкідливий код закріплюється в системі.
- Наступним кроком у пам'яті комп'ютера активується компонент хакерського фреймворку COVENANT. Він використовує API легітимного хмарного сервісу Koofr для отримання команд від зловмисників.
- Через COVENANT на комп'ютер завантажується та запускається основне шпигунське програмне забезпечення – бекдор BEARDSHELL. Ця програма надає хакерам повний контроль над ураженим пристроєм.
CERT-UA пов'язує цю активність із хакерським угрупованням UAC-0001 (APT28), яке контролюється російськими спецслужбами.
Держспецзв'язку наголошує на важливості кібергігієни. Будьте пильними, не відкривайте підозрілі файли та не вмикайте макроси в документах, отриманих навіть через месенджери. Про будь-які підозрілі інциденти просимо повідомляти CERT-UA.
CERT-UA вдячна усім суб’єктам кіберзахисту за своєчасне інформування та активну участь в обміні інформацією, що дозволяє оперативно реагувати на подібні інциденти. У разі виявлення підозрілих інцидентів просимо негайно звертатися до CERT-UA: incidents@cert.gov.ua, тел.+38 (044) 281-88-25.
Більше деталей – на сайті CERT-UA.