Хакери масово розсилають держустановам, промисловим підприємствам і військовим шкідливі листи під виглядом інтеграції із сервісами Amazon і Microsoft, щоб отримати доступ до пристроїв. Про це інформує урядова команда CERT-UA.

Йдеться, що в таких листах були конфігураційні файли налаштування протоколу віддаленого робочого столу (".rdp»), запуск яких забезпечував встановлення вихідного RDP-з’єднання із сервером зловмисників.

Так хакери отримують доступ до дисків, мережевих ресурсів, принтерів, COM-портів, аудіопристроїв, буфера обміну та інших ресурсів на комп’ютері. Також це створює умови для запуску сторонніх програм чи скриптів.

У CERT-UA припускають, що кібератаки готувалися щонайменше із серпня 2024 року, мають широку географію і не обмежуються Україною. Щоб захиститися, команда рекомендує:

  • не відкривати підозрілі файли та не надавати їм доступ до комп’ютера;
  • блокувати RDP-файли на поштовому шлюзі, а також можливість їхнього запуску користувачами;
  • налаштувати обмеження міжмережевого екрана для обмеження можливості встановлення RDP-з’єднань програмою mstsc.exe з ресурсами в мережі;
  • налаштувати групові політики для заборони перенаправлення ресурсів комп’ютера за допомогою RDP.

Нагадаємо, раніше CERT-UA попереджали про спроби зловмисників через Telegram-бот, замаскований під техпідтримку застосунку «Резерв+», вкрасти дані користувачів.