Держспецзв’язку повідомила про нові цілеспрямовані кібератаки на держустанови, які розпочинаються з надсилання документа Microsoft Word через Signal. За цим слідує зараження шкідливим кодом BEARDSHELL, що надає хакерам повний контроль над пристроєм, а CERT-UA пов’язує цю активність з угрупованням UAC-0001, підконтрольним російським спецслужбам.
Кібератаки на держоргани: виявлено нову багаторівневу схеДержавна служба спеціального зв’язку та захисту інформації України повідомила про нові цілеспрямовані кібератаки на державні установи. Про це пише УНН з посиланням на Держспецзв’язку у Telegram.
Деталі
У Національній команді реагування на кіберінциденти CERT-UA зафіксували застосування складного багаторівневого методу ураження комп’ютерних систем. Як зазначається, “атака починається з того, що зловмисник, добре обізнаний щодо своєї цілі, надсилає через Signal документ Microsoft Word (наприклад, “Акт.doc”) із вбудованим макросом”.
Після того, як користувач відкриває файл та активує макрос, запускається прихований процес зараження.
Після відкриття документа та активації макросу на комп’ютері запускається прихований механізм зараження, шкідливий код закріплюється в системі
– йдеться у повідомленні.
На наступному етапі атаки активується компонент COVENANT – хакерський фреймворк, який працює в оперативній пам’яті зараженого пристрою. За даними CERT-UA, “він використовує API легітимного хмарного сервісу Koofr для отримання команд від зловмисників”.
Далі в систему завантажується бекдор BEARDSHELL – шпигунське програмне забезпечення, що забезпечує повний віддалений контроль над зараженим комп’ютером.
Як зазначено, “через COVENANT на комп’ютер завантажується та запускається основне шпигунське ПЗ – бекдор BEARDSHELL, що надає хакерам повний контроль над пристроєм”.
CERT-UA пов’язує цю активність з угрупованням UAC-0001, також відомим як APT28, що, за даними спецслужб, діє під контролем російських спецслужб.