​​‼️ Зловмисники розгорнули атаку, використавши емблему Національного університету оборони України – аналіз 🧐🕵️ Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA виявила та дослідила факт кібератаки групи UAC-0057 (GhostWriter) на одну із державних організацій України.Спеціалісти CERT-UA виявили PPT-документ «daewdfq342r.ppt», що містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняховського.У випадку відкриття документу та активації макросу на комп'ютері жертви буде створений виконуваний файл, а також файл-ярлик, призначений для запуску останнього. Цей файл класифіковано як шкідливу програму PicassoLoader, що типово використовується групою UAC-0057 (GhostWriter). Програма призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду. У розглянутому інциденті PicassoLoader забезпечить завантаження і запуск .NET-дроперу, що здійснить дешифрування та запуск виконуваного файлу «PhotoMetadataHandler.dll». Останній, своєю чергою, виконає дешифрування та запуск шкідливої програми Cobalt Strike Beacon на комп'ютері жертви.У CERT-UA також зауважують: дати компіляції програм та створення (модифікації) PPT-документу свідчать про те, що атаку було ініційовано не пізніше 9 червня 2023 року. Сервери управління шкідливою програмою розміщені в рф, проте доменні імена «сховані» за Cloudflare. 📢 Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності та вживати невідкладних заходів зі зменшення «поверхні» атаки. Більш детальна інформація щодо невідкладних заходів кіберзахисту доступна за посиланням 👇🌐https://cert.gov.ua/article/1751036