Національна команда реагування на кіберінциденти CERT-UA провела аналіз серії кібератак, здійснених угрупуванням UAC-0099. Об'єктами атак стали органи державної влади, Сили оборони та підприємства оборонно-промислового комплексу України. Початковий етап атак, як правило, розпочинається з розсилки електронних листів, часто з використанням домену UKR.NET. Тематика листів імітує "судові повістки" та містить посилання на легітимні файлові сервіси, зокрема, скорочені за допомогою сервісів URL Shortener.
У ході дослідження було ідентифіковано та проаналізовано оновлені версії шкідливих інструментів, що використовуються угрупуванням UAC-0099, а саме: MATCHBOIL, MATCHWOK та DRAGSTARE. Ці інструменти зазнали модифікацій, спрямованих на покращення їхньої функціональності та ускладнення виявлення з боку систем безпеки. Детальний аналіз технічних аспектів цих оновлень дозволяє краще зрозуміти тактику та методи, що застосовуються зловмисниками.
Основною ціллю атак з боку угрупування UAC-0099 є українські державні установи, військові формування та підприємства, що працюють у сфері оборонної промисловості. Це свідчить про стратегічний інтерес зловмисників до інформації, пов'язаної з обороноздатністю та державним управлінням України. Однак, подібні атаки можуть мати вторинні наслідки для інших організацій та громадян, які можуть бути залучені до екосистеми цих цілей.
Для мінімізації ризиків кіберінцидентів, пов'язаних з діяльністю UAC-0099 та подібних угруповань, CERT-UA рекомендує:
- Підвищувати обізнаність користувачів щодо фішингових технік, зокрема, щодо підозрілих електронних листів та посилань.
- Посилювати заходи безпеки електронної пошти, включаючи фільтрацію спаму та впровадження механізмів захисту від фішингу.
- Регулярно оновлювати програмне забезпечення та антивірусні бази даних на всіх системах.
- Впроваджувати багатофакторну автентифікацію для доступу до критично важливих систем та даних.
- Проводити регулярні тренінги з кібербезпеки для персоналу.