Загальна інформація

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено HTML-файли, які імітують вебінтерфейс поштових сервісів (зокрема, UKR.NET, Yahoo.com) та реалізують технічну можливість ексфільтрації введених жертвою автентифікаційних даних за допомогою HTTP POST-запитів. При цьому, передавання викрадених даних здійснюється за допомогою заздалегдіь скомпрометованих пристроїв Ubiquiti (EdgeOS).

Слід окремо звернути увагу на той факт, що один з HTML-файлів ("detail.html", MD5: b0ef610dffa854e239fca9475f35272a) містить електронну адресу об'єкту атаки: "iri_1357@yahoo.com". За наявними даними зазначена адреса належить Посольству Ісламської Республіки Іран в Тірані (Республіка Албанія).

Виходячи з викладеного доцільно зробити висновок про те, що угрупуванням APT28, діяльність якого скеровується гу гш зс рф, у травні 2023 року, серед іншого, здійснено цільову кібератаку у відношенні закордонної дипломатичної установи Ірану.

Принагідно дякуємо представникам міжнародної дослідницької спільноти (@cyber__sloth, @BushidoToken), які сприяють боротьбі з кіберзагрозами, спрямованими, в тому числі, проти України.

джерело CERT.UA