Украинцам массово рассылают опасные письма: как распознать email от мошенников
В Украине зафиксирована новая волна киберугроз, направленных на государственные организации через массовое распространение вредных электронных писем. Гражданам следует особенно внимательно относиться к фальшивым письмам, связанным с сервисами Amazon, Microsoft.
Об этом пишет CERT-UA. Злоумышленники используют темы, связанные с интеграцией сервисов Amazon, Microsoft и внедрением архитектуры "нулевого доверия" (Zero trust architecture, ZTA), чтобы заманить своих жертв в ловушку.
Один из основных механизмов атаки включает использование фальшивых электронных писем, отправляемых от имени якобы Генштаба Вооруженных сил Украины. В таких письмах предоставляется ссылка на сторонний веб-сайт, где предлагается загрузить "приказ" или другие документы. Однако вместо безопасных файлов пользователь загружает на свой компьютер исполняемый файл, активирующий вредоносное приложение RomCom.
CERT-UA указывает на возможную связь этой активности с деятельностью хакерской группы под названием Tropical Scorpius, которая также известна как UNC2596. Она ответственна за распространение Cuba Ransomware – одного из наиболее опасных типов программ-вымогателей, блокирующего доступ к файлам пользователей и требующего выкупа за их восстановление. Группа использует вредоносное приложение RomCom, которое обеспечивает удаленный доступ к системе жертвы, позволяя злоумышленникам воровать информацию и контролировать инфицированные устройства.
Вредоносная программа, загружаемая в результате нажатия на вредоносную ссылку, включает несколько этапов заражения системы. После загрузки файла AcroRdrDCx642200120169_ru_RU.exe, который выглядит как обычное обновление программного обеспечения, на компьютере запускается программа, активирующая файл rmtpak.dll. Этот файл позволяет хакерам получить доступ к внутренним системам жертвы, осуществлять удаленное управление компьютером, копировать данные и устанавливать дополнительные вредоносные программы.
Для обнаружения потенциальных угроз на компьютерах жертв CERT-UA публикует индикаторы компрометации, включающие названия файлов, хэши и IP-адреса, связанные с кибератакой. В частности, среди индикаторов компрометации были зафиксированы файлы с названиями "Наказ_309.pdf" и AcroRdrDCx642200120169_ru_UA.exe, а также IP-адреса, связанные с вредной активностью: 45[.]158.38.34,6. и другие.
Чтобы защитить свои системы, специалисты по кибербезопасности советуют принимать ряд технических мер. Это, в частности:
- блокировка RDP-соединений – закрытие возможности удаленного доступа через RDP-протокол из внешних источников;
- блокировка вредоносных файлов – настройка почтовых шлюзов для блокировки файлов ".rdp", которые могут быть использованы для удаленного подключения;
- сетевой мониторинг – проверка сетевого трафика на наличие подозрительных соединений с указанными в предупреждениях CERT-UA IP-адресами.
В случае обнаружения индикаторов компрометации или подозрительной активности следует немедленно обратиться в ИТ-отдел или к специалистам по кибербезопасности. Важно изолировать инфицированные системы и начать процесс проверки всей сети на наличие других потенциальных угроз. Кроме того, необходимо соблюдать основные правила безопасности, включая регулярное обновление программного обеспечения и предотвращение открытия подозрительных электронных писем.
Как сообщал OBOZ.UA ранее, северокорейские хакеры за семь лет похитили криптовалюту на сумму около 3 миллиардов долларов. Эти средства были ориентированы на финансирование ядерной и ракетной программ КНДР.
Только проверенная информация у нас в Telegram-канале OBOZ.UA и в Viber. Не ведитесь на фейки!