Що сталось
У першій декаді листопада 2025 року Національна команда реагування на кіберінциденти CERT-UA виявила цілеспрямовану кібератаку, позначену як UAC-0241. Атака була спрямована на навчальні заклади та органи державної влади на сході України. Зловмисники розповсюджували електронні листи з темою "Наказ № 332", використовуючи для цього скомпрометований обліковий запис Gmail, який належав одному з вищих навчальних закладів регіону.
Технічні деталі
Основним інструментом у цій кампанії виступає шкідливе програмне забезпечення GAMYBEAR. Атака розпочинається з отримання зловмисниками доступу до облікового запису електронної пошти. Це дозволяє їм надсилати фішингові повідомлення від імені довіреної установи, що значно підвищує ймовірність успіху. Отримавши доступ до поштової скриньки, зловмисники можуть використовувати її для подальшого поширення шкідливого програмного забезпечення або для збору конфіденційної інформації.
Кому загрожує
Першочерговою ціллю цієї кібератаки є навчальні заклади, зокрема вищі навчальні заклади, розташовані на сході України. Однак, враховуючи потенціал GAMYBEAR та методи розповсюдження, загроза може поширюватися і на органи державної влади, а також на будь-які організації, які можуть бути зацікавлені для зловмисників у контексті їхньої діяльності.
Рекомендації
Для мінімізації ризиків кіберінцидентів, пов'язаних з подібними атаками, CERT-UA рекомендує:
- Посилити заходи безпеки облікових записів електронної пошти, зокрема використовувати двофакторну автентифікацію.
- Проводити регулярні тренінги для співробітників щодо розпізнавання фішингових листів та підозрілих вкладень.
- Оновити антивірусне програмне забезпечення та системи виявлення вторгнень.
- Обмежити права доступу до конфіденційної інформації та систем.
- Реагувати на підозрілу активність в мережі та оперативно повідомляти про інциденти до CERT-UA.
