Підписуйтеся на наш телеграм канал!

Шкідливе програмне забезпечення хакерів Gamaredon атакує критичну інфраструктуру України

Технології
10:42 am, 4 Лютого, 2023

Державний центр кіберзахисту України (ДЦКЗ) виявив, що угруповання Gamaredon проводить цілеспрямовані кібератаки на органи державної влади та критично важливу IT-інфраструктуру в країні.

Хакерська група, також відома як Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa і UAC-0010, неодноразово завдавала ударів по українських об'єктах ще 2022 року.

Згідно з повідомленням ДЦКЗ, діяльність групи UAC-0010 характеризується багатоступеневими навантаженнями шпигунського ПЗ, використовуваного для підтримки контролю над зараженими хостами. За інформацією CERT-UA, наразі група використовує у своїх кампаніях шпигунські програми GammaLoad і GammaSteel:

GammaLoad — це шкідлива програма-дропер VBScript, розроблена для доставки корисного навантаження VBScript з віддаленого сервера;
GammaSteel — це сценарій PowerShell, здатний проводити розвідку і виконувати додаткові команди.

Центр кіберзахисту зазначає, що атаки Gamaredon більше спрямовані на шпигунство і крадіжку інформації, ніж на саботаж. Центр також підкреслив еволюцію тактики хакерів, які оновлюють свій набір шкідливих програм, назвавши Gamaredon «ключовою кіберзагрозою».

Ланцюжки атак починаються з цільових фішингових листів, що містять RAR-архів, який при відкритті активує довгу послідовність, що складається з 5 проміжних етапів, які в кінцевому підсумку завершуються доставкою корисного навантаження PowerShell.

  • LNK-файл (1 шт.);
  • HTA-файл (1 шт.);
  • VBScript-файл (3 шт.).

Крім того, однією з тактик кіберзлочинців є зараження файлу «C:Users%USERNAME%AppDataRoamingMicrosoftTemplatesNormal.dotm» за допомогою макроса, який генерує URL-адресу і додає її в створюваний документ у вигляді посилання (атака Remote template injection). Це призведе до зараження всіх нових документів, що створюються на комп’ютері, і подальшого поширення ПЗ, що містить віруси.

Надагаємо, раніше хакери створили фейковий сайт одного з Міністерств для викрадення конфіденційних даних українців.

Підписуйтеся на наш телеграм канал!

Схожі записи

BTC

$64,375.52

0.02%

ETH

$3,144.04

-0.22%

BNB

$611.11

0.44%

XRP

$0.53

-0.04%

SOL

$143.77

-1.86%

Всі курси
Підписуйтеся на наш
телеграм канал!
Свіжі новини та огляди
ринків криптовалют останньої
доби прямо у вашому мессенджері. Чекаємо на вас!
ПЕРЕЙТИ
Показати більше