Белорусские хакеры в тени: ведётся кибервойна против Украины и Поль

Украинцы и поляки должны знать о кибератаках, проходящие под маской НДС

None

Новая хакерская группа UNC1151 активизировала свою деятельность, направив ряд кибератак на государственные органы, военные учреждения и обычных пользователей в Украине и Польше.

Согласно последнему отчету Cisco Talos, вредоносные действия группы начались в апреле 2022 года и продолжаются до сих пор. Основная цель злоумышленников – кража конфиденциальной информации и установление постоянного удаленного доступа к компьютерным системам.

Украинская служба CERT-UA (Computer Emergency Response Team) связывает кибератаки с группой UNC1151 и её кампанией под названием GhostWriter, предположительно связанных с белорусским правительством, как сообщает Cisco Talos.

Методы, применяемые в рамках атак, представляют собой сложную многоэтапную цепочку заражения. Инициализируется она за счет вредоносных документов Excel и PowerPoint, которые содержат скрытые загрузчики исполняемых файлов и встроенные в изображения вредоносные программы, что затрудняет их обнаружение.

Цепочка атаки: приманка побуждает пользователя активировать макросы, заражающие систему

Главной мишенью кибератак являются государственные и военные учреждения Украины и Польши. Хакеры используют техники социальной инженерии, маскируя свои действия под достоверные изображения и тексты.

Целью социальной инженерии является убеждение жертв активировать макросы, что позволяет злоумышленникам запустить цепочку вредоносных действий. По сообщениям, украинские и польские предприятия, а также обычные пользователи стали жертвами этих кампаний, когда открыли таблицы Excel, которые имитируют формы возврата НДС.

Анализ проведенных атак позволил выявить применение хакерами разнообразных вредоносных программ, включая RAT-троян AgentTesla, маяки Cobalt Strike и njRAT. Вредоносы позволяют злоумышленникам похищать информацию и получать удаленный контроль над скомпрометированными системами.

Для минимизации риска кибератак, Cisco Talos настоятельно рекомендует принятие комплексных мер безопасности. В своем отчете компания также предоставила полный перечень признаков компрометации (IoC), связанных с этими угрозами.

Источник: securitylab