Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявлено RAR-архів “Диверсанти.rar”, що містить RAR-архів “Диверсанти 21.03.rar”. Він, у свою чергу, містить SFX-архів “Диверсанти filercs.rar” (для маскування розширення ім’я файлу містить right-to-left override (RTLO) символ).
Згаданий архів містить документи та зображення приманки, а також VBScript-код (Thumbs.db), який забезпечить створення та запуск .NET-програми “dhdhk0k34.com”.
В результаті комп’ютер буде уражено шкідливою програмою Cobalt Strike Beacon.
Виявлену активність, виходячи зі специфічності VBScript-коду, з середнім рівнем впевненості асоційовано з діяльністю групи UAC-0051 (unc1151/GhostWriter).
⚠️ У разі будь-яких кіберінцидентів, кібератак або підозрілих дій щодо інформаційно-телекомунікаційних систем повідомляйте урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA.
