Хакери відправляють електронні листи про військовополонених із Курського напрямку, щоб вкрасти інформацію з пристроїв жертв. За цією кібератакою стоїть угрупування UAC-0020 (Vermin), пов’язане із силовими відомствами тимчасово окупованого Луганська. Про це повідомляє Держспецзв’язку.
У відправлених листах є фотографії із нібито військовополоненими та посилання для завантаження архіву "spysok_kursk.zip". У ньому є файл із розширенням CHM і назвою «список вп, що вибувають. Курск.»
Якщо його відкрити, на комп’ютер завантажиться відома шпигунська програма SPECTR і нова програма FIRMACHAGENT, призначенням якої є вивантаження викрадених даних на сервер управління.
Ось що рекомендує зробити CERT-UA (урядова команда реагування на комп'ютерні надзвичайні події України):
- Обмежити права облікових записів користувачів шляхом видалення їх із груп Administrators/«Адміністратори», щоб скоротити поверхню атаки;
- Застосувати відповідні політики (SRP/AppLocker) для унеможливлення запуску користувачами файлів із розширенням .CHM і powershell.exe.
Нагадаємо, проукраїнські хакери Cyber Anarchy Squad атакували російську компанію з інформаційної безпеки Avanpost.