Кібератака групи UAC-0010 (Armageddon) на державні організації України (CERT-UA#4378)

Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виялено факт розповсюдження електронних листів з темою "Інформація щодо військових злочинців РФ" серед державних органів України. Електронний лист містить HTML-файл "Військові злочинці РФ.htm", відкриття якого призведе до створення на комп'ютері RAR-архіву "Viyskovi_zlochinci_RU.rar". Згаданий архів містить файл-ярлик "Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk", відкриття якого призведе до завантаження HTA-файлу, який містить VBScript-код, що, у свою чергу, забезпечить завантаження і запуск powershell-скрипта "get.php" (GammaLoad.PS1). Завданням останнього є визначення унікального ідентифікатору комп'ютера (на основі імені комп'ютера та серійного номеру системного диску), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду.

Активність асоційовано з діяльністю групи UAC-0010 (Armageddon).

Звертаємо увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, адже, наразі, рівень їхнього детектування низький.

Фото cert.gov.ua

Фото cert.gov.ua

Матеріал https://cert.gov.ua/article/39138