Наприкінці березня CERT-UA зафіксувала активну фазу кібератаки, що використовує методи соціальної інженерії. Зловмисники розсилають електронні листи, які візуально імітують офіційні сповіщення від CERT-UA. Метою цих листів є спонукання отримувачів до завантаження та встановлення шкідливого програмного забезпечення під виглядом "спеціалізованого інструменту захисту". Ця кампанія є частиною діяльності групи UAC-0255, яка відома своїми цілеспрямованими атаками на Україну.
Отримувачам пропонується завантажити захищений паролем архів (наприклад, "CERT_UA_protection_tool.zip" або "protection_tool.zip") з файлообмінного сервісу Files.fm. Після розпакування архіву та запуску вмісту, на системи жертв встановлюється шкідливе програмне забезпечення AGEWHEEZE, що надає зловмисникам контроль над скомпрометованими пристроями.
Схема атаки є типовою для фішингових кампаній, але відрізняється високим рівнем маскування та використанням довіри до офіційних державних структур. Електронні листи містять переконливі формулювання та візуальні елементи, що створюють ілюзію легітимності. Пароль до архіву, ймовірно, надається в самому листі або його отримувачу пропонується "уточнити" його, що є додатковим елементом соціальної інженерії.
- Вектор доставки: Фішингові електронні листи.
- Сервіс розповсюдження: Файлообмінник Files.fm.
- Шкідливе ПЗ: AGEWHEEZE – це програма, призначена для віддаленого доступу та контролю над системою жертви, що дозволяє зловмисникам викрадати дані, встановлювати додаткове шкідливе ПЗ або здійснювати інші деструктивні дії.
- Маскування: Архівні файли з назвами, що імітують інструменти захисту від CERT-UA (наприклад, "CERT_UA_protection_tool.zip").
Цільова аудиторія цієї кібератаки є надзвичайно широкою і охоплює критично важливі сектори української інфраструктури. Серед отримувачів шкідливих листів були зафіксовані:
- Державні організації
- Медичні центри
- Охоронні фірми
- Навчальні заклади
- Фінансові установи
- Компанії-розробники програмного забезпечення
Такий широкий спектр цілей свідчить про намір зловмисників отримати доступ до різноманітних даних та систем, що може мати значні наслідки для національної безпеки та економіки.
Для мінімізації ризиків зараження та захисту від подібних атак CERT-UA та експерти Cyber Index UA настійно рекомендують:
- Перевіряйте відправника: Завжди уважно перевіряйте адресу електронної пошти відправника. Офіційні сповіщення від CERT-UA надходять лише з доменів
@cert.gov.ua. - Будьте обережні з вкладеннями та посиланнями: Не завантажуйте та не відкривайте файли з підозрілих джерел, навіть якщо вони здаються офіційними. Ніколи не вводьте паролі, отримані в електронних листах, для розпакування архівів.
- Використовуйте актуальне ПЗ: Забезпечте своєчасне оновлення операційних систем, антивірусного програмного забезпечення та інших засобів захисту.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни для співробітників, наголошуючи на небезпеці фішингу та соціальної інженерії.
- Впроваджуйте багатофакторну автентифікацію (MFA): Де це можливо, використовуйте MFA для доступу до критично важливих систем.
- Звертайтесь до CERT-UA: У разі виявлення підозрілих листів або інцидентів негайно повідомляйте CERT-UA.