Кібератака білоруської групи FrostyNeighbor на держустанови

Герман Богапов
-
0
1 230 views
CERT-UA фіксує третю кібератаку з темою рахунків та оплати

За даними телеметрії ESET, білоруська група, відома також як Ghostwriter або UNC1151, розгорнула складну операцію зі шпигунства. Зловмисники використовують багатоступеневий ланцюжок зараження, де ключовим елементом є соціальна інженерія.

Кібезлочинці цинічно використали бренд «Укртелекому» саме тоді, коли компанія перебуває в центрі уваги через свою міжнародну активність.

Схема проникнення «крок за кроком»

  • Приманка: жертва отримує лист із PDF-файлом, стилізованим під офіційну комунікацію «Укртелекому». У файлі міститься кнопка завантаження «захищеного документа».

  • Геофільтрація. Сервер зловмисників перевіряє IP-адресу. Якщо користувач перебуває в Україні, замість документа він отримує шкідливий RAR-архів.

  • Активація PicassoLoader: архів містить два JavaScript-файли. Один відкриває фейковий PDF для відвернення уваги, а другий запускає завантажувач PicassoLoader.

  • Збір даних. Програма кожні 10 хвилин надсилає на командний сервер (C&C) детальну інформацію про систему: ім’я користувача, версію ОС та список запущених процесів.

  • Фінальна стадія. Якщо жертва становить інтерес (наприклад, державний службовець), зловмисники завантажують інструментарій Cobalt Strike для повного контролю над системою та кібершпигунства.

В атаці на Укрінформ російські хакери використали 5 шкідливих програм

Географія та цілі

Група діє в інтересах Білорусі та РФ, атакуючи переважно Україну, Польщу та Литву. Якщо в сусідніх країнах ЄС під ударом опиняються навіть фармацевтичні та логістичні компанії, то в Україні головними цілями залишаються державні установи, військові структури та оборонна галузь.

HiTech Expert Take

Для HiTech Expert ми зазначаємо: використання бренду «Укртелекому» свідчить про те, що хакери ретельно стежать за інформаційним полем України. Це ще раз підкреслює важливість впровадження функцій Android 17, про які ми писали раніше — зокрема, автоматичної перевірки цілісності системи та посиленої верифікації додатків.

Враховуючи, що Укртелеком щойно став членом FTTH Council Europe, подібні атаки можуть бути спробою дискредитувати оператора або перехопити конфіденційні дані про розбудову нової європейської інфраструктури.

ПОВ'ЯЗАНІ СТАТТІЩЕ ВІД АВТОРА