Хакери масово розсилають держустановам, промисловим підприємствам і військовим шкідливі листи під виглядом інтеграції із сервісами Amazon і Microsoft, щоб отримати доступ до пристроїв. Про це інформує урядова команда CERT-UA.
Йдеться, що в таких листах були конфігураційні файли налаштування протоколу віддаленого робочого столу (".rdp»), запуск яких забезпечував встановлення вихідного RDP-з’єднання із сервером зловмисників.
Так хакери отримують доступ до дисків, мережевих ресурсів, принтерів, COM-портів, аудіопристроїв, буфера обміну та інших ресурсів на комп’ютері. Також це створює умови для запуску сторонніх програм чи скриптів.
У CERT-UA припускають, що кібератаки готувалися щонайменше із серпня 2024 року, мають широку географію і не обмежуються Україною. Щоб захиститися, команда рекомендує:
- не відкривати підозрілі файли та не надавати їм доступ до комп’ютера;
- блокувати RDP-файли на поштовому шлюзі, а також можливість їхнього запуску користувачами;
- налаштувати обмеження міжмережевого екрана для обмеження можливості встановлення RDP-з’єднань програмою mstsc.exe з ресурсами в мережі;
- налаштувати групові політики для заборони перенаправлення ресурсів комп’ютера за допомогою RDP.
Нагадаємо, раніше CERT-UA попереджали про спроби зловмисників через Telegram-бот, замаскований під техпідтримку застосунку «Резерв+», вкрасти дані користувачів.