У Держспецзв’язку повідомили про чергову кібератаку проти Сил оборони України: деталі

Зображення: Приклад електронного листа та вмісту шкідливого інсталятора/CERT-UA

Джерело: Держспецзв’язку

Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA у взаємодії з Центром кібербезпеки ЗСУ виявила та дослідила ворожу активність угрупування UAC-0020 (Vermin) проти Сил оборони України.

 Що сталося?

  • Група хакерів UAC-0020 (Vermin), пов’язана із силовими відомствами окупованого Луганська, атакувала Сили оборони України.
  • Зловмисники розсилали електронні листи з вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, який містив файл-приманку “Wowchok.pdf”; ЕХЕ-інсталятор “sync.exe” та BAT-файл “run_user.bat”.
  • Файл “sync.exe” містив як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR.
  • Викрадена інформація (документи, файли, паролі) надсилалася на комп’ютер зловмисника за допомогою штатного функціонала синхронізації SyncThing.

Відтак, цього разу у якості засобів реалізації кіберзагрози використано відомий з 2019 року інструментарій – шкідливе програмне забезпечення SPECTR. При цьому, для вивантаження з комп’ютера викрадних документів, файлів, паролів та іншої інформації використано штатний функціонал синхронізації легітимного програмного забезпечення SyncThing, яке, серед іншого, підтримує встановлення peer-to-peer з’єднання між комп’ютерами.

Для проведення кібератаки жертві надіслано електронний лист із вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, захищеного паролем. В зазначеному архіві знаходиться RARSFX-архів “туррель.фоп.вовчок.sfx.rar.scr”, що містить файл-приманку “Wowchok.pdf”, ЕХЕ-інсталятор “sync.exe”, створений за допомогою InnoSetup та BAT-файл “run_user.bat”, призначений для первинного запуску.

Своєю чергою файл “sync.exe” містить як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR, в тому числі допоміжні бібліотеки та скрипти. При цьому, штатні файли програмного забезпечення SyncThing частково модифіковано з метою зміни назв каталогів, запланованих задач, відключення функціонала відображення повідомлень користувачеві тощо.

Європейський Союз підготує 19-й пакет санкцій проти Росії, до якого увійдуть чотири китайські компанії, пов’язані з нафтовою галуззю, інформують дипломатичні джерела.

21 жовтня внаслідок російського обстрілу Новгород-Сіверського загинув 38-річний інженер лісового господарства Володимир Салабута. Чоловік отримав осколкове поранення грудної клітки біля власного будинку, а близько 17:00 його серце зупинилося.

НАБУ провело обшуки у фігурантів справи щодо розкрадання 200 млн грн, призначених на зведення фортифікацій у Полтавській області.

В РФ заявили, що, мовляв, “готові” до можливого військового конфлікту з НАТО, втім, не мають наміру нападати на країни альянсу. Принаймні про це заявив член оборонного комітету Держдуми РФ Андрій Колесник.

До дев’яти людей збільшилася кількість постраждалих внаслідок російського удару БпЛА по дитсадку та прилеглим будинкам у Холодногірському районі Харкова. Одна людина загинула.