Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, яка діє при Держспецзв’язку, зафіксувала нову хвилю кібератак на державні установи. Зловмисники з угруповання UAC-0057 розсилають небезпечні листи, маскуючи їх під повідомлення про успішне завершення курсів на популярній онлайн-платформі для навчання Prometheus, щоб приховано встановити шкідливе програмне забезпечення.
За даними фахівців, атаки розпочалися навесні 2026 року. Для розсилки фішингу хакери часто використовують уже скомпрометовані облікові записи українських підприємств та організацій.
Зловмисники надсилають електронного листа з темою про згенерований сертифікат, наприклад, з підробленої адреси certificates@prometheus.com.ua.
До листа додається PDF-документ, який імітує повідомлення від платформи. Усередині PDF-файлу міститься посилання (часто веде на домени в зоні .icu), натискання на яке завантажує на комп’ютер жертви ZIP-архів. У цьому архіві міститься небезпечний JavaScript-файл, запуск якого розпочинає процес інфікування системи.
Фахівці зазначають, що на фінальному етапі атаки на комп’ютер жертви може бути завантажено компонент фреймворку Cobalt Strike, що надає хакерам можливість віддаленого управління пристроєм. Саму інфраструктуру управління зловмисники традиційно ховають за сервісами Cloudflare.
CERT-UA наполегливо рекомендує системним адміністраторам та фахівцям з кібербезпеки застосувати базові підходи до зменшення поверхні атаки. Найголовніший крок для нейтралізації цієї загрози – обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.
Також Держспецзв’язку закликає працівників бути пильними, перевіряти фактичну адресу відправника листів та не переходити за сумнівними посиланнями навіть у вкладених документах.
Деталі на сайті CERT-UA.
