Вхід Реєстрація
Реклама
Ваше рекламне місце
Забронюйте цей слот без конкуренції на обраний період.
Купити рекламу →
Логотип телеграм спільноти - Держспецзв’язку
Додано 01 жов 2021

Держспецзв’язку

@dsszzi_official
Кількість підписників: 60 747
Фото: 3,910
Відео: 1,060
Посилання: 3,980
Опис:
Телеграм-канал Державної служби спеціального зв’язку та захисту інформації України НАПИСАТИ у фейсбук: https://www.facebook.com/dsszzi/ Сайт: https://www.cip.gov.ua Все буде Україна 🇺🇦💪
Джерело

Держспецзв’язку | ​​‼️ Зловмисники використовують для кібератак електронні листи на тему...

Логотип телеграм спільноти - Держспецзв’язку Держспецзв’язку @dsszzi_official
7 100 Охват/переглядів 2023-05-08 08:26 Повідомлення №5794
​​‼️ Зловмисники використовують для кібератак електронні листи на тему «рахунку / оплати» – аналіз 🧐🕵️ Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA виявила та дослідила факт розповсюдження хакерським угрупуванням UAC-0006 електронних листів із використанням скомпрометованих облікових записів з темою «рахунку / оплати» із додатком у вигляді ZIP-архіву. Згаданий ZIP-архів є файлом-поліглотом, що містить документ-приманку та JavaScript-файл, який, використовуючи PowerShell, забезпечить завантаження та запуск виконуваного файлу. Останній, своєю чергою, здійснить запуск шкідливої програми SmokeLoader.Дати реєстрації доменних імен, а також дата компіляції файлу свідчать про те, що кампанію ініційовано у квітні 2023 року.У CERT-UA зауважують, що активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021 року. Нова активність є своєрідним «поверненням» групи. Типовий зловмисний задум полягає в ураженні ЕОМ бухгалтерів (за допомогою яких здійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного банківського обслуговування), викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів (у деяких випадках з використанням HVNC-боту, безпосередньо з ураженої ЕОМ).Враховуючи, що згаданою групою на етапі первинного ураження типово використовуються JavaScript-завантажувачі, тимчасово мінімізувати вірогідність ураження можливо шляхом блокування запуску wscript.exe (Windows Script Host) на ЕОМ.ℹ️ Загальна інформація щодо атаки та індикатори кіберзагроз доступні за посиланням 👇🌐 https://cert.gov.ua/article/4555802