Кіберзлочинці використовують тематику закупівель дронів

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, зафіксувала нові кібератаки проти українських оборонних підприємств з використанням тематики закупівель БпЛА.

Для своїх цілей хакери використовують декілька видів шкідливого програмного забезпечення і можуть представлятись працівниками державних органів для підвищення довіри.

Схема атаки

• Зловмисники надсилають електронний лист із вкладенням у вигляді ZIP-файлу, що містить PDF-документ з посиланням. Жертві пропонується перейти за посиланням, щоб нібито «завантажити відсутні шрифти».
• При переході за посиланням на комп’ютер жертви завантажується файл «adobe_acrobat_fonts_pack.exe», що є насправді шкідливою програмою GLUEEGG, призначеною для дешифрування та запуск завантажувача DROPCLUE.
• DROPCLUE здійснює завантаження та відкриття на комп’ютері двох файлів: файлу-приманки у форматі PDF, а також EXE-файлу «font-pack-pdf-windows-64-bit», який в кінцевому результаті забезпечує завантаження та встановлення легітимної програми для віддаленого управління ATERA.
• В результаті, зловмисники отримують можливість несанкціонованого доступу до комп’ютера жертви.

Як запобігти атаці

• Будьте пильними, навіть якщо відправник листа представляється державним працівником.
• Не завантажуйте і не відкривайте підозрілі файли.
• Звертайтеся до CERT-UA, якщо підозрюєте, що могли стати жертвами атаки: incidents@cert.gov.ua, моб.+38 (044) 281-88-25.

Ворожа активність відстежується за ідентифікатором UAC-0180. Це угруповання активно атакує співробітників оборонних підприємств та Сил оборони України, постійно оновлюючи арсенал різноманітних шкідливих програм, але їх зловмисна діяльність не обмежується Україною.