Хакери використовують тематику військовополонених з Курського напрямку для здійснення своїх кібератак

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє у складі Держспецзв'язку, зафіксувала кібератаки за допомогою електронних листів з тематикою військовополонених.

Такі листи містять фотографії з зображеннями нібито військовополонених та посилання для завантаження архіву "spysok_kursk.zip". В архіві знаходиться файл з розширенням CHM та назвою "список вп, що вибувають. курск."
Відкриття цього файлу призведе до завантаження на комп’ютер компонентів вже відомої шпигунської програми SPECTR, а також нової програми FIRMACHAGENT, призначенням якої є вивантаження викрадених даних на сервер управління.
За даними CERT-UA, за атаку відповідальне угруповання UAC-0020 (Vermin), пов’язане із силовими відомствами тимчасово окупованого Луганська.
Як захиститися від атаки:
Обмежте права облікових записів користувачів шляхом видалення їх з груп "Administrators"/"Адміністратори", щоб скоротити поверхню атаки.
Застосуйте відповідні політики (SRP/AppLocker) для унеможливлення запуску користувачами файлів з розширенням .CHM та powershell.exe.
Як діяти у разі підозри на атаку:
Якщо ви підозрюєте, що стали жертвою кібератаки, невідкладно звертайтеся до CERT-UA:
Електронна пошта – incidents@cert.gov.ua
Телефон – (044) 281-88-25
Будьте уважні та захищайте свої дані в кіберпросторі!

За інформацією Держспецзв'язку