Оновлений інструментарій UAC-0057: Нова хвиля атак на держоргани України

CERT-UA попереджає про активізацію кіберзлочинної групи UAC-0057, яка з весни поточного року цілеспрямовано атакує державні організації України. Зловмисники використовують скомпрометовані облікові записи та нові інструменти, такі як OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, для розповсюдження шкідливого програмного забезпечення. Основною приманкою є фальшиві пропозиції щодо отримання сертифікатів через платформу Prometheus.

► ЩО СТАЛОСЬ█

З весни поточного року CERT-UA фіксує численні випадки цілеспрямованих кібератак на державні організації України. Атаки здійснюються групою UAC-0057, яка використовує скомпрометовані облікові записи для розсилання фішингових електронних листів. Ці листи маскуються під офіційні повідомлення, зокрема, пропонуючи отримати сертифікати через популярну освітню онлайн-платформу Prometheus, що підвищує їхню правдоподібність.

► ТЕХНІЧНІ ДЕТАЛІ█

В рамках цих кампаній UAC-0057 застосовує оновлений інструментарій, що включає шкідливі програми OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES. Хоча деталі їхньої функціональності не розкриваються в цьому повідомленні, зазвичай такі інструменти призначені для:

OYSTERFRESH: Ймовірно, початковий завантажувач або інструмент для встановлення первинного доступу та закріплення в системі.
OYSTERSHUCK: Може бути використаний для збору інформації, переміщення всередині мережі або викрадення даних.
OYSTERBLUES: Часто вказує на інструмент для віддаленого управління, моніторингу або виконання команд.

Використання скомпрометованих облікових записів значно ускладнює виявлення фішингових листів, оскільки вони надходять з довірених джерел, обходячи базові фільтри спаму та підвищуючи шанси на успішну компрометацію.

► КОМУ ЗАГРОЖУЄ█

Основною мішенню цих атак є державні організації України. Компрометація таких установ може призвести до витоку конфіденційної інформації, порушення роботи критично важливих систем, а також використання скомпрометованої інфраструктури для подальших атак на інші об'єкти. Загроза стосується всіх співробітників, які мають доступ до корпоративної електронної пошти та потенційно можуть стати жертвою фішингу.

► РЕКОМЕНДАЦІЇ█

Для мінімізації ризиків CERT-UA рекомендує:

Підвищення обізнаності: Проводити регулярні тренінги для співробітників щодо розпізнавання фішингових атак, особливо тих, що використовують соціальну інженерію та імітують відомі сервіси.
Перевірка джерел: Завжди ретельно перевіряти відправника електронного листа, навіть якщо він виглядає знайомим. У разі сумнівів звертатися до відправника через альтернативні канали зв'язку (телефон, месенджер).
Багатофакторна автентифікація (MFA): Запровадити та обов'язково використовувати MFA для всіх корпоративних облікових записів, особливо для доступу до електронної пошти та критичних систем.
Оновлення програмного забезпечення: Забезпечити своєчасне оновлення операційних систем, антивірусного програмного забезпечення та інших засобів захисту.
Сегментація мережі: Використовувати сегментацію мережі для обмеження горизонтального переміщення зловмисників у разі успішної компрометації.
План реагування на інциденти: Мати чіткий план дій у разі виявлення кіберінциденту.

🔗 Джерело: CERT-UA →