Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA повідомляє про нову кібератаку на державні органи України. На їх електронні адреси надходять листи з темою «Інформація щодо військових злочинців РФ» із прикріпленим HTML-файлом — його відкриття дасть зловмисникам віддалений доступ до комп’ютера.
Деталі кібератаки
- Після відкриття HTML-файлу під назвою «Військові злочинці РФ.htm», на комп’ютері буде створено RAR-архів «Viyskovi_zlochinci_RU.rar».
- Архів містить файл-ярлик «Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk», відкриття якого призведе до завантаження HTA-файлу з VBScript-кодом. Це, у свою чергу, забезпечить завантаження і запуск powershell-скрипта «get.php» (GammaLoad.PS1).
- Завдання powershell-скрипта «get.php» (GammaLoad.PS1) — визначити унікальний ідентифікатор комп’ютера на основі його імені та серійного номеру системного диску, передати цю інформацію для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантажити, XOR-декодувати та запустити пейлоад.
- За даними CERT-UA, за цією атакою стоїь група хакерів Armageddon.
