‼️Нова кібератака групи UAC-0010 (Armageddon) на державні організації України
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виялено факт розповсюдження електронних листів з темою "Інформація щодо військових злочинців РФ" серед державних органів України.
❌Електронний лист містить HTML-файл "Військові злочинці РФ.htm", відкриття якого призведе до створення на комп'ютері RAR-архіву "Viyskovi_zlochinci_RU.rar". 📌Згаданий архів містить файл-ярлик "Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", відкриття якого призведе до завантаження HTA-файлу, який містить VBScript-код, що, у свою чергу, забезпечить завантаження і запуск powershell-скрипта "get.php" (GammaLoad.PS1).
❗️Завданням останнього є визначення унікального ідентифікатору комп'ютера (на основі імені комп'ютера та серійного номеру системного диску), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду.
🖊Активність асоційовано з діяльністю групи UAC-0010 (Armageddon). Звертаємо увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, адже, наразі, рівень їхнього детектування низький.
#CERT_UA
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виялено факт розповсюдження електронних листів з темою "Інформація щодо військових злочинців РФ" серед державних органів України.
❌Електронний лист містить HTML-файл "Військові злочинці РФ.htm", відкриття якого призведе до створення на комп'ютері RAR-архіву "Viyskovi_zlochinci_RU.rar". 📌Згаданий архів містить файл-ярлик "Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", відкриття якого призведе до завантаження HTA-файлу, який містить VBScript-код, що, у свою чергу, забезпечить завантаження і запуск powershell-скрипта "get.php" (GammaLoad.PS1).
❗️Завданням останнього є визначення унікального ідентифікатору комп'ютера (на основі імені комп'ютера та серійного номеру системного диску), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду.
🖊Активність асоційовано з діяльністю групи UAC-0010 (Armageddon). Звертаємо увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, адже, наразі, рівень їхнього детектування низький.
#CERT_UA
‼️Кіберполіція попереджає про атаки, спрямовані на отримання доступу до облікових записів Telegram
🔴Злочинці розповсюджували повідомлення з посиланнями на начебто вебсайт Telegram для отримання несанкціонованого доступу до облікових записів згаданого сервісу, в тому числі з можливістю перехоплення одноразового коду з SMS.
▪️Фахівці Департаменту кіберполіції та Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA дослідили цільові атаки на громадян України.
▪️У результаті подібних атак зловмисники викрадають дані сесії, перелік контактів та історії листування.
▪️Українські кіберфахівці заблокували хостинг, з якого велися атаки, однак зловмисники «переїжджають» на хостинги рф.
▪️Закликаємо бути пильними та у жодному разі не переходити за підозрілими посиланнями.📌 Також варто встановити додатковий пароль для двоетапної автентифікації в Telegram (разом із кодом, що надходить SMS).
Додатково необхідно у налаштуваннях Телеграму завершити усі сеанси, крім поточного.
❗️У разі отримання подібних повідомлень просимо терміново інформувати суб'єкти забезпечення кібербезпеки України з метою вжиття невідкладних заходів з блокування шкідливих вебресурсів.
#CERT_UA
🖊Дктально та Індикатори компрометації: https://cert.gov.ua/article/39253
🔴Злочинці розповсюджували повідомлення з посиланнями на начебто вебсайт Telegram для отримання несанкціонованого доступу до облікових записів згаданого сервісу, в тому числі з можливістю перехоплення одноразового коду з SMS.
▪️Фахівці Департаменту кіберполіції та Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA дослідили цільові атаки на громадян України.
▪️У результаті подібних атак зловмисники викрадають дані сесії, перелік контактів та історії листування.
▪️Українські кіберфахівці заблокували хостинг, з якого велися атаки, однак зловмисники «переїжджають» на хостинги рф.
▪️Закликаємо бути пильними та у жодному разі не переходити за підозрілими посиланнями.📌 Також варто встановити додатковий пароль для двоетапної автентифікації в Telegram (разом із кодом, що надходить SMS).
Додатково необхідно у налаштуваннях Телеграму завершити усі сеанси, крім поточного.
❗️У разі отримання подібних повідомлень просимо терміново інформувати суб'єкти забезпечення кібербезпеки України з метою вжиття невідкладних заходів з блокування шкідливих вебресурсів.
#CERT_UA
🖊Дктально та Індикатори компрометації: https://cert.gov.ua/article/39253
🔴Зафіксовано кібератаку
‼️Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єкту координації отримано електронний лист із вкладенням у вигляді XLS-документу "Aid request COVID-19-04_5_22.xls", що містить макрос. ❌У випадку активації макросу, останній здійснить декодування пейлоаду, що знаходиться в прихованому аркуші документу, а також створення на диску і запуск Go-завантажувача.💻❗️ В подальшому, на комп'ютер будуть завантажені та виконані шкідливі програми GraphSteel (дата компіляції: 2022-04-21) та GrimPlant.
❗️Звертаємо увагу на той факт, що розсилання електронних листів здійснено зі скомпрометованого облікового запису співробітника державного органу України.
Деталі🖊https://cert.gov.ua/article/39882
#CERT_UA
‼️Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єкту координації отримано електронний лист із вкладенням у вигляді XLS-документу "Aid request COVID-19-04_5_22.xls", що містить макрос. ❌У випадку активації макросу, останній здійснить декодування пейлоаду, що знаходиться в прихованому аркуші документу, а також створення на диску і запуск Go-завантажувача.💻❗️ В подальшому, на комп'ютер будуть завантажені та виконані шкідливі програми GraphSteel (дата компіляції: 2022-04-21) та GrimPlant.
❗️Звертаємо увагу на той факт, що розсилання електронних листів здійснено зі скомпрометованого облікового запису співробітника державного органу України.
Деталі🖊https://cert.gov.ua/article/39882
#CERT_UA
#невидимий_фронт
🔴Кібератака на медійні організації України з використанням шкідливої програми
💻Урядовою командою реагування на комп'ютерні надзвичайні події України отримано інформацію щодо масового розсилання електронних листів, зокрема, серед медійних організацій України (радіостанції, газети, новинні агенції та інші) з темою "СПИСОК посилань на інтерактивні карти". Встановлено більше 5️⃣0️⃣0️⃣ електронних адрес отримувачів.
У додатку лист містив документ "СПИСОК_посилань_на_інтерактивні_карти.docx", відкриття якого призведе до завантаження HTML-файлу та виконання JavaScript-коду, що, в свою чергу, забезпечить завантаження та виконання EXE-файлу "2.txt", що класифіковано як шкідливу програму CrescentImp (дослідження триває).
❗️Зловмисники продовжують вдаються до розсилань електронних листів зі скомпрометованих електронних адрес державних органів.
🔺У випадку виявлення ознак компрометації за наданими індикаторами просимо терміново інформувати: https://t.me/stopdrugsbot
#CERT_UA
🔴Кібератака на медійні організації України з використанням шкідливої програми
💻Урядовою командою реагування на комп'ютерні надзвичайні події України отримано інформацію щодо масового розсилання електронних листів, зокрема, серед медійних організацій України (радіостанції, газети, новинні агенції та інші) з темою "СПИСОК посилань на інтерактивні карти". Встановлено більше 5️⃣0️⃣0️⃣ електронних адрес отримувачів.
У додатку лист містив документ "СПИСОК_посилань_на_інтерактивні_карти.docx", відкриття якого призведе до завантаження HTML-файлу та виконання JavaScript-коду, що, в свою чергу, забезпечить завантаження та виконання EXE-файлу "2.txt", що класифіковано як шкідливу програму CrescentImp (дослідження триває).
❗️Зловмисники продовжують вдаються до розсилань електронних листів зі скомпрометованих електронних адрес державних органів.
🔺У випадку виявлення ознак компрометації за наданими індикаторами просимо терміново інформувати: https://t.me/stopdrugsbot
#CERT_UA
#кібервійна
🔴 хакерське угрупування UAC-0006 атакує українські підприємства, здебільшого орієнтуються на бухгалтерів
кібергрупа UAC-0006 є першою в категорії фінансових злочинів, здійснюючи (спроби) викрадення грошових коштів з рахунків українських підприємств за допомогою шкідливих програм у розмірах від одного мільйону гривень на тиждень. Урядова команда #CERT-UA розповіла про різновиди спеціалізованих програм, за допомогою яких хакери отримають несанкціонований доступ та подальше приховане управління інфікованим комп’ютером, а також навели приклад ланцюга ураження.
"На жаль, поточний стан кібербезпеки підприємств, установ і організацій, попри численні публікації та інформування щодо кіберзагроз, допускає надзвичайно низький рівень захищеності автоматизованих робочих місць бухгалтерів, на яких, фактично, здійснюється управління фінансами організацій на мільйони та мільярди гривень. Незахищеність таких комп’ютерів може бути прямим свідченням недбалості керівників організацій та фахівців відповідних напрямів, що, своєю чергою та з вини останніх, неодмінно призводить до значних матеріальних збитків", — повідомляють CERT-UA.
👨💻👩💻Робоче місце бухгалтера, за визначенням, передбачає обробку великої кількості вхідних електронних листів, в т. ч., отриманих в обхід можливого периметру захисту на електронні адреси сторонніх сервісів. Крім того, з такого комп’ютера здійснюється взаємодія з різноманітними інформаційними системами, що, в сукупності, потребує наявності доступу до мережі Інтернет.
🖍"Задля зменшення вірогідності реалізації кіберзагрози ЕОМ бухгалтерів потребують вжиття окремих технічних заходів, в першу чергу, обмеження можливості запуску виконуваних файлів та скриптів (бажано, за принципом „білого“ списку) з використанням штатних технологій операційних систем Windows, таких як SRP або AppLocker. Прикро, але трапляються випадки коли на ЕОМ з мільйонними платіжками немає навіть засобу захисту від шкідливих програм („антивірусу“)", — CERT-UA.
Підписатися
УДЦР | НКЕК | САЙТ
кібергрупа UAC-0006 є першою в категорії фінансових злочинів, здійснюючи (спроби) викрадення грошових коштів з рахунків українських підприємств за допомогою шкідливих програм у розмірах від одного мільйону гривень на тиждень. Урядова команда #CERT-UA розповіла про різновиди спеціалізованих програм, за допомогою яких хакери отримають несанкціонований доступ та подальше приховане управління інфікованим комп’ютером, а також навели приклад ланцюга ураження.
"На жаль, поточний стан кібербезпеки підприємств, установ і організацій, попри численні публікації та інформування щодо кіберзагроз, допускає надзвичайно низький рівень захищеності автоматизованих робочих місць бухгалтерів, на яких, фактично, здійснюється управління фінансами організацій на мільйони та мільярди гривень. Незахищеність таких комп’ютерів може бути прямим свідченням недбалості керівників організацій та фахівців відповідних напрямів, що, своєю чергою та з вини останніх, неодмінно призводить до значних матеріальних збитків", — повідомляють CERT-UA.
👨💻👩💻Робоче місце бухгалтера, за визначенням, передбачає обробку великої кількості вхідних електронних листів, в т. ч., отриманих в обхід можливого периметру захисту на електронні адреси сторонніх сервісів. Крім того, з такого комп’ютера здійснюється взаємодія з різноманітними інформаційними системами, що, в сукупності, потребує наявності доступу до мережі Інтернет.
🖍"Задля зменшення вірогідності реалізації кіберзагрози ЕОМ бухгалтерів потребують вжиття окремих технічних заходів, в першу чергу, обмеження можливості запуску виконуваних файлів та скриптів (бажано, за принципом „білого“ списку) з використанням штатних технологій операційних систем Windows, таких як SRP або AppLocker. Прикро, але трапляються випадки коли на ЕОМ з мільйонними платіжками немає навіть засобу захисту від шкідливих програм („антивірусу“)", — CERT-UA.
Підписатися
УДЦР | НКЕК | САЙТ
Please open Telegram to view this post
VIEW IN TELEGRAM