Центр реагування на комп'ютерні надзвичайні події України (CERT-UA) провів аналіз діяльності групи кіберзагроз UAC-0145. Ця група, яка також відома під псевдонімами Sandworm, APT44 та Seashell Blizzard, активно використовує різноманітні методи для первинного компрометування систем. Оновлені дані, зібрані до липня 2026 року, дозволяють краще зрозуміти тактику та інструментарій зловмисників.
Дослідження CERT-UA виявило ключові вектори, які UAC-0145 використовує для початкового доступу до цільових мереж. Серед основних методів спостерігається активне застосування фішингових кампаній, які часто маскуються під офіційні комунікації або важливі сповіщення. Також значну роль відіграють експлуатація вразливостей програмного забезпечення, зокрема тих, що стосуються веб-додатків та мережевої інфраструктури. Зловмисники постійно адаптують свої інструменти, включаючи шкідливе програмне забезпечення, для обходу систем захисту та досягнення своїх цілей.
Діяльність UAC-0145 становить значну загрозу для широкого кола організацій, зокрема:
- Державні установи та оборонний сектор України: як основні цілі, що можуть зазнавати кібератак з метою шпигунства, диверсій або дестабілізації.
- Критична інфраструктура: енергетичні компанії, транспортні системи та інші об'єкти, порушення роботи яких може мати серйозні наслідки.
- Великі підприємства та корпорації: з метою викрадення конфіденційної інформації, фінансових даних або проведення інших зловмисних операцій.
- Аналітичні центри та дослідницькі організації: які можуть стати об'єктом для отримання інформації або впливу.
Для протидії загрозам, пов'язаним з UAC-0145, CERT-UA рекомендує впровадити наступні заходи безпеки:
- Підвищення обізнаності користувачів: проведення регулярних тренінгів з кібербезпеки, особливо щодо розпізнавання фішингових повідомлень.
- Своєчасне оновлення програмного забезпечення: забезпечення актуальності операційних систем, додатків та мережевого обладнання для усунення відомих вразливостей.
- Посилення заходів контролю доступу: впровадження багатофакторної автентифікації та принципів найменших привілеїв.
- Моніторинг мережевої активності: використання систем виявлення вторгнень (IDS/IPS) та регулярний аналіз журналів подій для виявлення підозрілої активності.
- Розробка та тестування планів реагування на інциденти: забезпечення готовності до швидкого та ефективного реагування у разі компрометації.