Російські хакери атакували українських військових, видаючи себе за рекрутерів ЗСУ та ЦАХАЛ

Згідно з даними фахівців Trendmicro, російські хакери запустили нову хвилю кібератак на українських військовослужбовців. Детальніше про це повідомила Державна служба спеціального зв’язку та захисту інформації України. Зловмисники видавали себе за рекрутерів 3 ОШБр та Армії оборони Ізраїлю (ЦАХАЛ).

З листопада 2023 року хакери використовують Signal для розповсюдження архівів, що містять LNK-файли, запуск яких ініціює ланцюг ураження шкідливими програмами REMCOSRAT і REVERSESSH. Це призведе до створення технічних умов несанкціонованого віддаленого доступу до ЕОМ для зловмисників.

За словами спеціалістів, файли-ярлики містять обфусковану команду для завантаження і запуску за допомогою mshta. exe HTA-файлу, в якому знаходиться обфускований програмний код. VBScript-код здійснить запуск PowerShell-команди, що призначена для розшифрування (AES-128-ECB), декомпресії (GZIP) та запуску PowerShell-сценарію.

Останній забезпечить завантаження і запуск файлу шкідливої програми, а також документ-приманку (PDF або DOCX). При цьому, назви та вміст таких документів є релевантними для військових: «опитування полоненого», «геолокації», «команди кодування», «позивні» тощо.

«Незважаючи на використання публічно доступного інструментарію (що може призводити до виявлення схожостей з іншими атаками), описана активність за іншими специфічними ознаками є окремим кластером кіберзагроз та відстежується за ідентифікатором UAC-0184», — наголосили фахівці.

Нагадаємо — нещодавно стало відомо, що хакери держави-терористки викрадають дані зі смартфонів українських військових за допомогою шкідливого програмного забезпечення. Як повідомили спеціалісти з безпеки, шкідливе ПЗ забезпечує постійний доступ до скомпрометованих Android-пристроїв, їх обробку та фільтрацію.