Нові загрози кібербезпеці: Угруповання UAC-0099 активізується
Національна служба реагування на кіберінциденти CERT-UA виявила нову хвилю кібератак, націлених на державні установи та підприємства оборонного сектору України.
Згідно з інформацією пресслужби Держспецзв'язку, нова атака пов'язана з угрупованням UAC-0099, яке значно оновило своє програмне забезпечення та почало використовувати нові шкідливі програми, зокрема MATCHBOIL, MATCHWOK і DRAGSTARE. Атакуючі використовують складну тактику, щоб викрасти дані та отримати віддалений доступ до систем.
Атака розпочинається з розсилки фішингових електронних листів, які часто маскуються під офіційні документи, наприклад, «судові повістки». Вони містять посилання на легітимні файлообмінники, переходячи за якими, жертва завантажує ZIP-архів з шкідливим HTA-файлом. Це перший етап атаки.
Запуск HTA-файлу активує VBScript, який створює два файли на комп'ютері жертви: один з HEX-кодованими даними, інший – з PowerShell-кодом. Для їх виконання створюється заплановане завдання. Наступним кроком є декодування даних через PowerShell, що призводить до створення виконуваного файлу MATCHBOIL, який закріплюється в системі через заплановане завдання.
Основними цілями угруповання є державні органи України, підрозділи Сил оборони та підприємства, що працюють у сфері оборонно-промислового комплексу.
Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення, що свідчить про еволюцію тактик угруповання.
MATCHBOIL (Завантажувач) призначений для доставки основного шкідливого навантаження на уражений комп'ютер. Він збирає базову інформацію про систему (ID процесора, серійний номер BIOS, ім'я користувача, MAC-адресу) для ідентифікації жертви на сервері управління, після чого завантажує наступний компонент атаки і створює запис у реєстрі для автоматичного запуску.
MATCHWOK (Бекдор) дозволяє зловмисникам віддалено виконувати довільні PowerShell-команди на зараженій системі. Команди надходять у зашифрованому вигляді з сервера управління і виконуються через модифікований інтерпретатор PowerShell. Бекдор має елементи антианалізу, зокрема перевіряє наявність активних процесів, пов'язаних з інструментами на кшталт Wireshark.
DRAGSTARE (Викрадач) відповідає за збір даних і викрадає інформацію про систему, дані браузерів (логіни, паролі, cookie), а також файли з робочого столу та документів, які мають певні розширення.
РЕКОМЕНДАЦІЇ ВІД CERT-UA
Щоб протидіяти цим загрозам, необхідно вжити таких заходів:
- Уважно контролюйте вхідні листи. Навчайте співробітників розпізнавати фішингові повідомлення.
- Обмежте виконання скриптів, налаштувавши політики безпеки для блокування HTA-файлів.
- Впроваджуйте моніторинг кінцевих точок для відстеження нових запланованих завдань.
- Забезпечте захист мережевого периметра з використанням сучасних IDS/IPS.
- Регулярно оновлюйте програмне забезпечення для запобігання вразливостям.
