Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про кібератаку з використанням електронних листів з «інструкціями» щодо «оновлення операційної системи».
📨 Електронні листи з темою «Оновлення Windows» надсилають начебто від імені системних адміністраторів відомств із електронних адрес, створених на публічному сервісі «@outlook.com». В окремих випадках листи можуть формуватися з використанням справжнього прізвища та ініціалів співробітника.
У типовому для атаки листі міститься «інструкція» українською мовою щодо «оновлення для захисту від хакерських атак», а також графічні зображення процесу запуску командного рядка та виконання PowerShell-команди. Виконання останньої імітує процес оновлення операційної системи, завантажує й виконує PowerShell-сценарій для збору базової інформації про ЕОМ, а також надсилання отриманих результатів до API сервісу Mocky.
Згідно з даними CERT-UA, активність здійснюється групою APT28 (також відома як Pawn Storm, Fancy Bear), яку низка дослідників пов’язують із російською федерацією.
⚠️ Урядова команда реагування на комп’ютерні надзвичайні події України рекомендує обмежити можливість запуску PowerShell користувачами та забезпечити моніторинг мережевих з’єднань до API сервісу Mocky.
