Що сталось
Національна команда реагування на кіберінциденти CERT-UA провела аналіз серії кібератак, здійснених угрупуванням UAC-0099. Об'єктами атак стали органи державної влади, Сили оборони та підприємства оборонно-промислового комплексу України. Початковий етап атак, як правило, розпочинається з розсилки електронних листів, часто з використанням домену UKR.NET. Тематика листів імітує "судові повістки" та містить посилання на легітимні файлові сервіси, зокрема, скорочені за допомогою сервісів URL Shortener.
Технічні деталі
У ході дослідження було ідентифіковано та проаналізовано оновлені версії шкідливих інструментів, що використовуються угрупуванням UAC-0099, а саме: MATCHBOIL, MATCHWOK та DRAGSTARE. Ці інструменти зазнали модифікацій, спрямованих на покращення їхньої функціональності та ускладнення виявлення з боку систем безпеки. Детальний аналіз технічних аспектів цих оновлень дозволяє краще зрозуміти тактику та методи, що застосовуються зловмисниками.
Кому загрожує
Основною ціллю атак з боку угрупування UAC-0099 є українські державні установи, військові формування та підприємства, що працюють у сфері оборонної промисловості. Це свідчить про стратегічний інтерес зловмисників до інформації, пов'язаної з обороноздатністю та державним управлінням України. Однак, подібні атаки можуть мати вторинні наслідки для інших організацій та громадян, які можуть бути залучені до екосистеми цих цілей.
Рекомендації
Для мінімізації ризиків кіберінцидентів, пов'язаних з діяльністю UAC-0099 та подібних угруповань, CERT-UA рекомендує:
- Підвищувати обізнаність користувачів щодо фішингових технік, зокрема, щодо підозрілих електронних листів та посилань.
- Посилювати заходи безпеки електронної пошти, включаючи фільтрацію спаму та впровадження механізмів захисту від фішингу.
- Регулярно оновлювати програмне забезпечення та антивірусні бази даних на всіх системах.
- Впроваджувати багатофакторну автентифікацію для доступу до критично важливих систем та даних.
- Проводити регулярні тренінги з кібербезпеки для персоналу.
