Протягом жовтня-грудня 2023 року фахівці Національної команди реагування на кіберінциденти CERT-UA, у тісній взаємодії з Командою реагування на кіберінциденти Збройних Сил України (в/ч А0334), проводили розслідування серії цілеспрямованих кібератак. Об'єктом цих атак стали представники Сил оборони України. Зловмисники, що стоять за кампанією, ідентифікованою як UAC-0190, застосовують витончені методи соціальної інженерії, видаючи себе за представників благодійних фондів, щоб заманити жертв.
Ключовим елементом цих атак є використання шкідливого програмного забезпечення, відомого як PLUGGYAPE, яке дозволяє зловмисникам отримувати несанкціонований доступ до систем та викрадати конфіденційну інформацію.
Кампанія UAC-0190 характеризується застосуванням PLUGGYAPE — шкідливого програмного забезпечення, що належить до класу бекдорів або засобів віддаленого доступу (RAT). Його функціонал зазвичай включає:
- Віддалене виконання команд: Зловмисники можуть дистанційно запускати довільні команди на скомпрометованій системі.
- Збір даних: Можливість викрадення файлів, облікових даних, інформації про систему та мережу.
- Персистентність: Механізми забезпечення постійного доступу до системи навіть після перезавантаження.
- Маскування: Часто використовує методи обфускації та шифрування для уникнення виявлення антивірусними засобами.
Початкове зараження, ймовірно, відбувається через фішингові повідомлення або веб-сайти, які імітують діяльність благодійних організацій, спонукаючи жертв завантажити та запустити шкідливий файл.
Основною ціллю цих кібератак є військовослужбовці та представники Сил оборони України. Однак, ризик поширюється на будь-яких користувачів, які можуть стати об'єктом цілеспрямованої фішингової атаки, особливо якщо вони взаємодіють з інформацією, що стосується благодійних фондів або військової допомоги. Це включає:
- Персонал, що працює з конфіденційною інформацією.
- Співробітники, які мають доступ до мережевих ресурсів військових та урядових організацій.
- Особи, які активно шукають або надають допомогу через благодійні організації.
Для мінімізації ризиків зараження та захисту від подібних атак CERT-UA та Cyber Index UA рекомендують:
- Будьте пильними: Завжди перевіряйте джерело будь-яких електронних листів, особливо тих, що містять посилання або вкладення, і стосуються благодійності чи військової тематики.
- Не відкривайте підозрілі вкладення: Уникайте завантаження та запуску файлів з невідомих або сумнівних джерел.
- Використовуйте актуальне ПЗ: Забезпечте регулярне оновлення операційних систем, антивірусного програмного забезпечення та інших програм.
- Багатофакторна автентифікація: Активуйте двофакторну або багатофакторну автентифікацію скрізь, де це можливо, особливо для критично важливих облікових записів.
- Резервне копіювання: Регулярно створюйте резервні копії важливих даних.
- Інформування: Повідомляйте про підозрілі інциденти своїм ІТ-відділам або CERT-UA.