Кібератака! Розповсюдження серед органів місцевого самоврядування електронних листів з темою "Заміну таблиці"...

Дата: 28.10.2024 08:57
Кількість переглядів: 26

Фото без опису

  Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA досліджується активність, пов'язана із розповсюдженням серед органів місцевого самоврядування електронних листів з темою "Заміну таблиці" та посиланням, що імітує Google таблицю.

У випадку переходу за посиланням користувачеві буде відображене вікно, що імітує механізм захисту від ботів reCAPTCHA. Якщо клікнути у полі, навпроти надпису "I'm not a robot", до буферу обміну комп'ютера буде скопійовано PowerShell-команду, а у вікні, що з'явиться, буде відображено "інструкцію", в якій пропонується натиснути комбінацію клавіш "Win+R" (для відкриття командного рядка), після чого виконати другу комбінацію клавіш "Ctrl+V" (вставити в командний рядок команду) та натиснути "Enter", що призведе до виконання PowerShell-команди.

Згадана команда забезпечить завантаження і запуск HTA-файлу "browser.hta" (очистить вміст буферу обміну) та PowerShell-сценарію "Browser.ps1", основним призначенням якого є:

  • завантаження і запуск SSH для побудови тунелю
  • викрадення та ексфільтрацію автентифікаційних та інших даних браузерів Chrome, Edge, Opera, Firefox
  • завантаження та запуск програмного засобу METASPLOIT.

Зауважимо, що у вересні 2024 року CERT-UA досліджено інцидент (CERT-UA#10859), пов'язаний із розповсюдженням електронних листів, що містили експлойт для вразливості в Roundcube (CVE-2023-43770), успішне спрацювання якого створювало технічні можливості для викрадення автентифікаційних даних користувача, а також призводило до створення фільтру "SystemHealthChek" (плагін "ManageSiev"), який забезпечував перенаправлення вмісту поштової скриньки жертви на електронну адресу зловмисника.

В обох випадках у якості управляючої інфраструктури використовувався (скомпрометований) сервер "mail.zhblz[.]com" (203.161.50[.]145).

Слід також додати, що під час дослідження згаданого інциденту виявлено більше 10 скомпрометованих облікових записів електронної пошти державної організації, вміст яких регулярно автоматизовано отримувався зловмисниками, та які, серед іншого, використовувалися для розсилки електронних листів з експлойтами, в тому числі, оборонним відомствам інших країни світу.

З середнім рівнем впевненості описана активність асоційована з діяльністю угрупування UAC-0001 (APT28).

Детальніше.


« повернутися

Код для вставки на сайт

Вхід для адміністратора

Онлайн-опитування:

Увага! З метою уникнення фальсифікацій Ви маєте підтвердити свій голос через E-Mail
Скасувати

Результати опитування

Дякуємо!

Ваш голос було зараховано

Форма подання електронного звернення


Авторизація в системі електронних звернень

Авторизація в системі електронних петицій

Авторизація

УВАГА!

Шановні користувачі нашого сайту. В процесі авторизації будуть використані і опубліковані Ваші:

Прізвище, ім'я та по батькові, Email, а також регіон прописки.

Решта персональних даних не будуть зберігатися і не можуть бути використані без Вашого відома.

Погоджуюсь на передачу персональних даних