Кібератака UAC-0241: GAMYBEAR на навчальні заклади Сходу України

Національна команда реагування на кіберінциденти CERT-UA зафіксувала нову кібератаку групи UAC-0241, спрямовану на українські навчальні заклади та органи державної влади, зокрема на сході країни. Атака, що відбулася на початку листопада 2025 року, використовувала шкідливе програмне забезпечення GAMYBEAR, поширюючись через скомпрометовані поштові акаунти.

► ЩО СТАЛОСЬ█

Національна команда реагування на кіберінциденти CERT-UA виявила цілеспрямовану кібератаку, здійснену групою UAC-0241. У першій декаді листопада 2025 року було зафіксовано масове розповсюдження електронних листів з темою "Наказ № 332". Ці листи були адресовані навчальним закладам та органам державної влади, особливо у східних регіонах України. Зловмисники використовували скомпрометований обліковий запис поштового сервісу Gmail, який належав одному з вищих навчальних закладів, що підвищувало довіру до фішингових повідомлень.

► ТЕХНІЧНІ ДЕТАЛІ█

Основною метою атаки було розповсюдження шкідливого програмного забезпечення GAMYBEAR. Цей тип малварі часто використовується для віддаленого контролю над скомпрометованою системою, збору конфіденційної інформації та подальшого розвитку атаки всередині мережі жертви. Фішингові листи містили вкладення або посилання, які після відкриття активували механізм завантаження та встановлення GAMYBEAR. Використання легітимного, хоча й скомпрометованого, облікового запису Gmail є типовою тактикою для обходу базових систем фільтрації спаму та підвищення ефективності соціальної інженерії.

► КОМУ ЗАГРОЖУЄ█

Ця кібератака є прямою загрозою для:

Навчальних закладів: вищих, професійно-технічних та загальноосвітніх, особливо тих, що розташовані у східних областях України.
Органів державної влади: центральних та місцевих, які можуть бути ціллю для збору розвідувальної інформації або дестабілізації.
Організацій, що взаємодіють з державним сектором: підрядники, партнери, які можуть стати вторинними жертвами через скомпрометовані канали зв'язку.

Хоча атака була сфокусована на конкретному регіоні, подібні загрози можуть швидко поширюватися на інші території та сектори.

► РЕКОМЕНДАЦІЇ█

Для мінімізації ризиків та захисту від подібних атак CERT-UA рекомендує:

Навчання персоналу: Проводити регулярні тренінги з кібергігієни та розпізнавання фішингових листів.
Перевірка джерел: Завжди ретельно перевіряти відправника електронних листів, особливо тих, що містять вкладення або посилання, навіть якщо вони виглядають легітимними.
Багатофакторна автентифікація (MFA): Впровадити MFA для всіх облікових записів, особливо для поштових сервісів та систем віддаленого доступу.
Оновлення ПЗ: Регулярно оновлювати операційні системи, антивірусне програмне забезпечення та інші додатки.
Моніторинг мережі: Відстежувати аномальну активність у мережі та на кінцевих точках.
Резервне копіювання: Забезпечити надійне та регулярне резервне копіювання критично важливих даних.
Співпраця з CERT-UA: У разі виявлення підозрілої активності негайно повідомляти CERT-UA.

🔗 Джерело: CERT-UA →