​​‼️ Кіберзлочинці використовують тематику закупівель БпЛА для атак на оборонні …

‼️ Кіберзлочинці використовують тематику закупівель БпЛА для атак на оборонні підприємства

???? Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, зафіксувала нові кібератаки проти українських оборонних підприємств з використанням тематики закупівель БпЛА.

Для своїх цілей хакери використовують декілька видів шкідливого програмного забезпечення і можуть представлятись працівниками державних органів для підвищення довіри.

????️ Схема атаки

???? Зловмисники надсилають електронний лист із вкладенням у вигляді ZIP-файлу, що містить PDF-документ з посиланням. Жертві пропонується перейти за посиланням, щоб нібито «завантажити відсутні шрифти».

???? При переході за посиланням на комп’ютер жертви завантажується файл «adobe_acrobat_fonts_pack.exe», що є насправді шкідливою програмою GLUEEGG, призначеною для дешифрування та запуск завантажувача DROPCLUE.

???? DROPCLUE здійснює завантаження та відкриття на комп’ютері двох файлів: файлу-приманки у форматі PDF, а також EXE-файлу «font-pack-pdf-windows-64-bit», який в кінцевому результаті забезпечує завантаження та встановлення легітимної програми для віддаленого управління ATERA.

???? В результаті, зловмисники отримують можливість несанкціонованого доступу до комп’ютера жертви.

❓ Як запобігти атаці

???? Будьте пильними, навіть якщо відправник листа представляється державним працівником.

???? Не завантажуйте і не відкривайте підозрілі файли.

???? Звертайтеся до CERT-UA, якщо підозрюєте, що могли стати жертвами атаки:
✉️ incidents@cert.gov.ua,
???? моб.+38 (044) 281-88-25.

???? Ворожа активність відстежується за ідентифікатором UAC-0180. Це угруповання активно атакує співробітників оборонних підприємств та Сил оборони України, постійно оновлюючи арсенал різноманітних шкідливих програм, але їх зловмисна діяльність не обмежується Україною.

ℹ️ Дізнайтесь більше про деталі інциденту на сайті CERT-UA:
https://cert.gov.ua/article/6280099