CERT-UA, національна команда реагування на кіберінциденти, провела дослідження низки кібератак, спрямованих проти ключових секторів України. Ці атаки були здійснені угрупуванням UAC-0099, яке активно націлюється на органи державної влади, Сили оборони та підприємства оборонно-промислового комплексу. Типовий сценарій початкового зараження передбачає розсилку електронних листів, часто з використанням поштових сервісів UKR.NET, що імітують «судові повістки». Ці листи містять посилання на легітимні файлові сервіси, іноді скорочені за допомогою URL-скорочувачів, звідки завантажується шкідливе програмне забезпечення.
У ході останніх атак UAC-0099 було зафіксовано використання оновленого інструментарію. До арсеналу угрупування додалися нові шкідливі програми, відомі як MATCHBOIL, MATCHWOK та DRAGSTARE. Ці інструменти, ймовірно, виконують різні функції в ланцюжку атаки: від початкового завантаження та закріплення в системі до збору даних та їхньої ексфільтрації. Використання легітимних файлових сервісів для розповсюдження шкідливого ПЗ є поширеною тактикою, яка дозволяє обійти базові засоби фільтрації електронної пошти та підвищити ймовірність успішного зараження.
Пряма загроза від діяльності UAC-0099 стосується:
- Органів державної влади України: Міністерства, відомства та інші державні установи.
- Сил оборони України: Військові підрозділи та пов'язані з ними структури.
- Підприємств оборонно-промислового комплексу: Компанії, що працюють у сфері виробництва та обслуговування оборонної продукції.
Однак, будь-яка організація або особа, яка може бути цікавою для ворога або має зв'язки з переліченими секторами, також може стати мішенню. Особливу увагу слід приділяти електронним листам з підозрілою тематикою, зокрема «судових повісток».
- Підвищена пильність: Завжди критично оцінюйте електронні листи, особливо ті, що містять посилання або вкладення, навіть якщо вони виглядають офіційними.
- Перевірка джерела: Перед переходом за посиланням або відкриттям вкладення, переконайтеся у легітимності відправника та змісту листа. У разі сумнівів, зв'яжіться з відправником альтернативним каналом зв'язку.
- Антивірусний захист: Використовуйте актуальне антивірусне програмне забезпечення та регулярно оновлюйте його бази.
- Оновлення систем: Своєчасно встановлюйте оновлення операційних систем та програмного забезпечення для усунення відомих вразливостей.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни для співробітників, щоб підвищити їхню обізнаність про фішингові атаки.
- Багатофакторна автентифікація (MFA): Застосовуйте MFA для всіх критично важливих облікових записів.
- Звітування: У разі виявлення підозрілих інцидентів негайно повідомляйте CERT-UA.