Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала чергову цільову кібератаку на державний сектор. Цього разу угруповання UAC-0057 використовує тему професійного розвитку, маскуючи фішингові листи під сповіщення від освітньої платформи Prometheus.
Для розсилки зловмисники зазвичай використовують уже компрометовані облікові записи легітимних українських підприємств та організацій, що підвищує шанси на обхід базових спам-фільтрів.
Як відбувається кібератака?
Сам ланцюжок інфікування побудований на послідовних діях неуважного користувача.
Спочатку жертва отримує електронний лист про успішне завершення навчання та генерацію сертифіката, до якого прикріплено PDF-документ, що візуально копіює стилістику Prometheus.
Усередині цього файлу сховане посилання, перехід за яким запускає завантаження шкідливого ZIP-архіву. Якщо користувач розпаковує архів і запускає обфускований JavaScript-файл, що міститься всередині, у системі активується процес інфікування.
На фінальному етапі атаки на комп’ютер завантажується компонент фреймворку Cobalt Strike, який забезпечує хакерам повний віддалений контроль над хостом і можливість подальшого горизонтального переміщення внутрішньою мережею установи.
Що врахувати адміністраторам та фахівцям з безпеки?
- Аналітика поштових логів: звертайте увагу на листи з PDF-вкладеннями від зовнішніх контрагентів, які зазвичай не надсилають подібний контент.
- Налаштування політик Windows (SRP/AppLocker): забороніть виконання сценаріїв .js та .vbs звичайними користувачами або налаштуйте їх автоматичне відкриття через звичайний блокнот замість Windows Script Host (WSH).
- Контроль трафіку (C2): перевірте телеметрію на предмет підозрілих вихідних з’єднань, характерних для Cobalt Strike.
Зрештою, найкращою практикою захисту залишається кібергігієна всієї команди, тому важливо навчити навіть нетехнічних фахівців базових правил безпеки.
А як ви підвищуєте кіберграмотність серед колег не з IT-відділу? Діліться в коментарях.