Підписуйтеся на наш телеграм канал!
Хакери атакують країни-союзники України напередодні саміту НАТО
Дослідники кібербезпеки Blackberry Research and Intelligence Team виявили хакерську групу, яка атакує прихильників України шкідливим ПЗ перед самітом НАТО. Ключова подія має відбутися 11−12 липня у Вільнюсі.
За даними команди Blackberry Research, хакерська група RomCom використовує підроблені документи, які імітують заклик до приєднання України до альянсу — однієї з ключових тем обговорення на саміті. Кампанія охоплює два методи атаки — spear-phishing (цільовий фішинг) і typosquatting — внесення непомітних помилок у легітимні URL-адреси.
Хакери створили шкідливий документ, який поширюється від імені Світового конгресу українців (СКУ) серед країн-союзників України. Документ закликає одержувача перейти за посиланням на фішинговий сайт «ukrainianworldcongress.info» (оригінальний сайт містить домен «.org»).
Коли жертва переходить на сайт, на її пристрої розгортається шкідливе ПЗ, яке збирає персональні дані - ім'я користувача та IP-адресу, щоб визначити місце розташування жертви.
Ланцюжок атак використовує вразливість нульового дня Microsoft CVE-2022−30 190 (Follina), вперше її виявили у травні минулого року. У разі успішного використання помилка дає змогу атакуючому віддалено виконати код (Remote Code Execution, RCE) за допомогою створення шкідливого документа «.docx» або «.rtf». Ця техніка ефективна навіть коли вимкнені макроси, а документ переглядається у безпечному режимі. За даними Blackberry, даний вектор атаки був одним із найпопулярніших торік.
Фахівці з кібербезпеки стежать за RomCom з 2022 року, відколи виявили атаки угруповання на українські військові установи. Через подібність коду у двох кампаніях експерти зробили висновок, що за ними стоїть одна й та сама хакерська група.
Україна вже зазнавала кібератак із використанням вразливості Follina. Так, у червні 2022 року команда реагування на комп’ютерні інциденти України CERT-UA повідомила про фішингову кампанію, у межах якої хакери Sandworm розсилали шкідливі листи українським ЗМІ для розгортання зловмисного ПЗ.