13 липня Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, зафіксувала чергове масове розсилання небезпечних електронних листів з темою «Рахунок-фактура». Повідомлення містять вкладення з назвою «Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip», відкриття якого зрештою призведе до завантаження і запуску шкідливої програми SmokeLoader.
Цього разу конфігураційний файл шкідливої програми містить 45 доменних імен, з яких лише 5 на момент аналізу мають A-запис (IP-адреса: 193.106.174[.]173; провайдер @iqhost[.]ru, Росія).
Слід звернути увагу на той факт, що, з метою забезпечення живучості, функціонал SmokeLoader’у передбачає можливість визначення актуальних A-записів для доменних імен шляхом зверення до DNS-серверів сервісу @dnspod[.]com.
Вкотре для розповсюдження листів зловмисники використали скомпрометовані облікові записи електронної пошти. Активність відстежується за ідентифікатором UAC-0006.
Нагадаємо, нещодавно CERT-UA вже повідомляла про аналогічну діяльність цього угрупування. Фахівці зауважували, що активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021 року. У травні 2023 року зловмисники розпочали чергову кампанію атак.
Типовий зловмисний задум полягає в ураженні бухгалтерських комп’ютерів, за допомогою яких здійснюється забезпечення фінансової діяльності; викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів.
