Хакери відправляють електронні листи про військовополонених із Курського напрямку, щоб вкрасти інформацію з пристроїв жертв. За цією кібератакою стоїть угрупування UAC-0020 (Vermin), пов’язане із силовими відомствами тимчасово окупованого Луганська. Про це повідомляє Держспецзв’язку.  

У відправлених листах є фотографії із нібито військовополоненими та посилання для завантаження архіву "spysok_kursk.zip". У ньому є файл із розширенням CHM і назвою «список вп, що вибувають. Курск.»

Якщо його відкрити, на комп’ютер завантажиться відома шпигунська програма SPECTR і нова програма FIRMACHAGENT, призначенням якої є вивантаження викрадених даних на сервер управління.

Ось що рекомендує зробити CERT-UA (урядова команда реагування на комп'ютерні надзвичайні події України):

  • Обмежити права облікових записів користувачів шляхом видалення їх із груп Administrators/«Адміністратори», щоб скоротити поверхню атаки;
  • Застосувати відповідні політики (SRP/AppLocker) для унеможливлення запуску користувачами файлів із розширенням .CHM і powershell.exe.

Нагадаємо, проукраїнські хакери Cyber Anarchy Squad атакували російську компанію з інформаційної безпеки Avanpost.