Правительственная команда реагирования на чрезвычайные события CERT-UA сообщает о новой кибератаке на государственные органы Украины. На их электронные адреса поступают письма с темой «Информация по военным преступникам РФ» с прикрепленным HTML-файлом — его открытие даст злоумышленникам удаленный доступ к компьютеру.
Подробности кибератаки
- После открытия HTML-файла под названием «Военные преступники РФ.htm», на компьютере будет создан RAR-архив «Viyskovi_zlochinci_RU.rar».
- Архив содержит файл-ярлык «Военные-преступники уничтожающие Украину (домашние адреса, фото, номера телефонов, страницы в социальных сетях).lnk», открытие которого приведет к загрузке HTA-файла с VBScript-кодом. Это, в свою очередь, обеспечит загрузку и запуск powershell-скрипта get.php (GammaLoad.PS1).
- Задание powershell-скрипта «get.php» (GammaLoad.PS1) — определить уникальный идентификатор компьютера на основе его имени и серийного номера системного диска, передать эту информацию для использования в качестве XOR-ключа на сервер управления с помощью HTTP POST-запроса, а также скачать, XOR-декодировать и запустить пейлоад.
- По данным CERT-UA, за этой атакой стоит группа хакеров Armageddon.