У Держспецзв’язку повідомили про чергову кібератаку проти Сил оборони України: деталі

Зображення: Приклад електронного листа та вмісту шкідливого інсталятора/CERT-UA

Джерело: Держспецзв’язку

Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA у взаємодії з Центром кібербезпеки ЗСУ виявила та дослідила ворожу активність угрупування UAC-0020 (Vermin) проти Сил оборони України.

 Що сталося?

  • Група хакерів UAC-0020 (Vermin), пов’язана із силовими відомствами окупованого Луганська, атакувала Сили оборони України.
  • Зловмисники розсилали електронні листи з вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, який містив файл-приманку “Wowchok.pdf”; ЕХЕ-інсталятор “sync.exe” та BAT-файл “run_user.bat”.
  • Файл “sync.exe” містив як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR.
  • Викрадена інформація (документи, файли, паролі) надсилалася на комп’ютер зловмисника за допомогою штатного функціонала синхронізації SyncThing.

Відтак, цього разу у якості засобів реалізації кіберзагрози використано відомий з 2019 року інструментарій – шкідливе програмне забезпечення SPECTR. При цьому, для вивантаження з комп’ютера викрадних документів, файлів, паролів та іншої інформації використано штатний функціонал синхронізації легітимного програмного забезпечення SyncThing, яке, серед іншого, підтримує встановлення peer-to-peer з’єднання між комп’ютерами.

Для проведення кібератаки жертві надіслано електронний лист із вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, захищеного паролем. В зазначеному архіві знаходиться RARSFX-архів “туррель.фоп.вовчок.sfx.rar.scr”, що містить файл-приманку “Wowchok.pdf”, ЕХЕ-інсталятор “sync.exe”, створений за допомогою InnoSetup та BAT-файл “run_user.bat”, призначений для первинного запуску.

Своєю чергою файл “sync.exe” містить як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR, в тому числі допоміжні бібліотеки та скрипти. При цьому, штатні файли програмного забезпечення SyncThing частково модифіковано з метою зміни назв каталогів, запланованих задач, відключення функціонала відображення повідомлень користувачеві тощо.

Оперативно-стратегічне угруповання військ “Хортиця” повідомило, що російські війська намагаються до 9 травня вийти на адміністративний кордон Дніпропетровської та Донецької областей на Покровському напрямку, де нині тривають важкі бої.

Кабінет Міністрів затвердив розроблений Міністерством оборони у співпраці з Офісом президента порядок створення і функціонування Центрів підготовки громадян до національного спротиву, що визначає порядок створення та функціонування Центрів, встановлює засади їх діяльності.

У Генеральному штабі ЗСУ поінформували про оперативну ситуацію на фронті станом на 22:00 22 квітня. З початку доби відбулося 118 бойових зіткнень.  Росіяни завдали 83 авіаційні удари, скинувши 170 КАБ. Крім того, застосували 1159 дронів-камікадзе, та здійснили 4231 обстріл населених пунктів та позицій наших військ.

22 квітня посла Китаю в Україні Ма Шенкуня запросили до Міністерства закордонних справ, аби передати докази участі громадян КНР у війні РФ проти України.

Росія відмовилася виконати вимоги президента Дональда Трампа щодо припинення війни проти України. Намагаючись затягнути переговори, прессекретар Кремля Дмитро Пєсков заявив журналістам, що встановлення “жорстких дедлайнів” — це “марна справа”.