Російські хакери атакували прикордонну службу України

0
1 097 views
GammaLoad

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє, що отримала від Кіберцентру Державної прикордонної служби України інформацію щодо розповсюдження, начебто, від імені ДП «Адміністрація морських портів України», електронних поштових повідомлень із вкладенням у вигляді RAR-архіву «порти АРК.rar».

Згаданий RAR-архів містить шкідливі DOCX-документи «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx» і «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx», кожен з яких, у свою чергу, містить вбудовану URL-адресу.

GammaLoad

У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad.

GammaLoad – шкідлива програма, розроблена з використанням мови програмування VB Script; основний функціонал – ідентифікація комп’ютера (визначення %COMPUTERNAME% і %SYSTEMDRIVE%) і подальше завантаження та запуск додаткових шкідливих програм. Персистентність забезпечується за допомогою запланованого завдання (Scheduled Task).

CERT-UA асоціювала атаку з діяльністю групи Armageddon, що підконтрольна ФСБ Росії та відслідковується за ідентифікатором UAC-0010.

Ще про кібербезпеку