Изображение: recraft
На территории Украины за последнее время зафиксированы как минимум три случая хакерских атак, нацеленными на органы управления и важные объекты военной и социальной инфраструктуры. Об этом сообщили в Центре реагирования на компьютерные инциденты Украины (CERT-UA), добавив, что цель этих действий — кража закрытой информации.
Специалисты CERT-UA указали, что для рассылки вредоносных писем использовались ранее взломанные электронные аккаунты. Сами сообщения выглядели правдоподобно: в них содержались ссылки на известные файлообменники, например, DropMeFiles и Google Drive.
В ряде случаев переход на эти сайты маскировался через вложения в формате PDF. Основной задачей злоумышленников было убедить адресатов в срочности проблемы — в письмах утверждалось, что одно из украинских госучреждений планирует урезать зарплаты, а список сотрудников, якобы попавших под сокращение, предлагалось посмотреть по ссылке.
Если пользователь переходил по этой ссылке, запускался скрипт на языке Visual Basic Script (VBS), который загружал PowerShell-команду. Эта команда собирала файлы с определёнными расширениями и делала скриншоты экрана. Подобный подход позволял атакующим получить доступ к конфиденциальным данным и контролировать действия пользователя на заражённом устройстве.
По данным CERT-UA, за этими действиями якобы стоит группа, обозначенная как UAC-0219. Её активность отслеживается с осени 2024 года. По наблюдениям специалистов, на первых этапах использовались EXE-файлы в сочетании с вредоносным скриптом на VBS и обычной программой для обработки изображений IrfanView, что позволяло оставаться незамеченными.
В CERT-UA назвали вредоносные компоненты WRECKSTEEL. Пока не сообщается, кто стоит за этой кампанией, и ни одна страна официально не обвинена в организации атак.
В то же время на фоне этих событий внимание привлекло и другое сообщение — специалисты «Лаборатории Касперского» сообщили об активности хакера, известного под псевдонимом Head Mare.
По информации российских экспертов, он атаковал несколько компаний в России, применяя вирус под названием PhantomPyramid. Эта программа способна принимать команды от оператора через управляющий сервер, а также подгружать дополнительные модули, в том числе инструмент MeshAgent, который предоставляет расширенные возможности управления заражённым устройством.
Оригинал публикации на сайте CISOCLUB: "Украинские власти жалуются на волну хакерских атак с использованием программы WRECKSTEEL".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.