Команда реагування на комп'ютерні надзвичайні події України (CERT-UA) виявила та розкрила інформацію про масштабну фішингову кампанію, спрямовану на українських користувачів. Зловмисники, ідентифіковані як група UAC-0255, видавали себе за CERT-UA, розсилаючи електронні листи з метою поширення інструменту віддаленого адміністрування (RAT) під назвою AGEWHEEZE. Ця кампанія охопила близько мільйона електронних адрес, що свідчить про її значний потенційний вплив на кібербезпеку країни.
Атаки відбувалися 26 та 27 березня 2026 року. Фішингові листи були майстерно замасковані під офіційні повідомлення від CERT-UA, що підвищувало їхню правдоподібність та шанси на успіх. Основним вектором доставки шкідливого програмного забезпечення було вкладення у вигляді захищеного паролем ZIP-архіву. Всередині архіву, ймовірно, містився виконуваний файл або скрипт, який після запуску встановлював AGEWHEEZE. Цей інструмент віддаленого адміністрування дозволяє зловмисникам отримувати повний контроль над скомпрометованою системою, викрадати конфіденційні дані, встановлювати додаткове шкідливе ПЗ або використовувати її для подальших атак. Використання захищених паролем архівів є поширеною тактикою для обходу антивірусних сканерів та систем фільтрації електронної пошти.
Ця кампанія становить значну загрозу для широкого кола організацій та приватних осіб в Україні. Особливо вразливими є державні установи, об'єкти критичної інфраструктури, IT-компанії та будь-які організації, які регулярно взаємодіють з CERT-UA або очікують від них повідомлень. Високий рівень маскування під авторитетну державну установу може ввести в оману навіть обізнаних користувачів. Потенційні наслідки включають витік конфіденційної інформації, порушення роботи систем, фінансові втрати та компрометацію корпоративних мереж.
- Підвищення обізнаності: Проведіть інструктаж для співробітників щодо розпізнавання фішингових атак, особливо тих, що імітують довірені джерела.
- Перевірка джерел: Завжди перевіряйте справжність відправника електронного листа, особливо якщо він містить вкладення або посилання. Звертайте увагу на домен відправника та будь-які невідповідності.
- Обережно з вкладеннями: Ніколи не відкривайте вкладення з підозрілих або неочікуваних листів, навіть якщо вони здаються офіційними. Будьте особливо обережні з архівами, захищеними паролем.
- Антивірусний захист: Забезпечте актуальність антивірусного програмного забезпечення та регулярно оновлюйте операційні системи та програми.
- Резервне копіювання: Регулярно створюйте резервні копії важливих даних, щоб мати можливість відновити їх у разі компрометації.
- Багатофакторна автентифікація: Використовуйте багатофакторну автентифікацію (MFA) скрізь, де це можливо, для додаткового рівня захисту облікових записів.