Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA обнаружила и исследовала факт распространения хакерской группировкой UAC-0006 электронных писем с использованием скомпрометированных учетных записей с темой «счета/оплаты» с приложением в виде ZIP-архива. Об этом пишет с ссылкой на Государственную службу специальной связи и защиты информации Украины.
Упомянутый ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл, который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла. Последний, в свою очередь, осуществит запуск вредоносной программы SmokeLoader.
Даты регистрации доменных имен, а также дата компиляции файла свидетельствуют о том, что кампания инициирована в апреле 2023 года.
«Активность группы UAC-0006 является финансово мотивированной и осуществлялась с 2013 года по июль 2021 года. Новая активность является своеобразным «возвращением» группы. Типичный злонамеренный замысел заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ / сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC-бота, непосредственно с пораженной ЭВМ)», – отмечают в CERT-UA.
Учитывая, что упомянутой группой на этапе первичного поражения типично используются JavaScript-загрузчики, временно минимизировать вероятность поражения возможно путем блокировки запуска wscript.exe (Windows Script Host) на ЭВМ, предупредили в ведомстве.
По материалам: УНН