Новые угрозы кибербезопасности: Группа UAC-0099 активизируется
Национальная служба реагирования на киберинциденты CERT-UA выявила новую волну кибератак, нацеленных на государственные учреждения и предприятия оборонного сектора Украины.
Согласно информации пресс-службы Госспецсвязи, новая атака связана с группой UAC-0099, которая значительно обновила свое программное обеспечение и начала использовать новые вредоносные программы, такие как MATCHBOIL, MATCHWOK и DRAGSTARE. Нападающие применяют сложную тактику, чтобы украсть данные и получить удаленный доступ к системам.
Атака начинается с рассылки фишинговых электронных писем, часто маскирующихся под официальные документы, например, «судебные повестки». Эти письма содержат ссылки на легитимные файлообменники, переходя по которым жертва загружает ZIP-архив с вредоносным HTA-файлом. Это первый этап атаки.
Запуск HTA-файла активирует VBScript, который создает два файла на компьютере жертвы: один с HEX-кодированными данными, другой – с PowerShell-кодом. Для их выполнения создается запланированное задание. Следующим шагом является декодирование данных через PowerShell, что приводит к созданию исполняемого файла MATCHBOIL, который закрепляется в системе через запланированное задание.
Основными целями группы являются государственные органы Украины, подразделения Сил обороны и предприятия, работающие в сфере оборонно-промышленного комплекса.
Исследование CERT-UA выявило три новых образца вредоносного программного обеспечения, что свидетельствует о эволюции тактик группы.
MATCHBOIL (Загрузчик) предназначен для доставки основного вредоносного груза на зараженный компьютер. Он собирает базовую информацию о системе (ID процессора, серийный номер BIOS, имя пользователя, MAC-адрес) для идентификации жертвы на сервере управления, после чего загружает следующий компонент атаки и создает запись в реестре для автоматического запуска.
MATCHWOK (Задняя дверь) позволяет злоумышленникам удаленно выполнять произвольные команды PowerShell на зараженной системе. Команды отправляются с сервера управления в зашифрованном формате и выполняются через переименованный интерпретатор PowerShell. Задняя дверь включает элементы антианализа, проверяя наличие активных процессов, связанных с инструментами вроде Wireshark.
DRAGSTARE (Крадущий данные) отвечает за сбор данных и крадет информацию о системе, данные браузеров (логины, пароли, cookie), а также файлы с рабочего стола и документов с определенными расширениями.
РЕКОМЕНДАЦИИ ОТ CERT-UA
Чтобы противодействовать этим угрозам, необходимо принять следующие меры:
- Усилить контроль за входящей корреспонденцией. Обучайте сотрудников распознавать фишинговые письма.
- Ограничьте выполнение скриптов, настроив политики безопасности для блокировки HTA-файлов.
- Внедряйте мониторинг конечных точек для отслеживания новых запланированных заданий.
- Обеспечьте защиту сетевого периметра с использованием современных систем IDS/IPS.
- Регулярно обновляйте программное обеспечение для защиты от известных уязвимостей.
