Кібератаки на державні організації України продовжуються
Загальна інформація
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб’єкту координації отримано інформацію щодо розповсюдження, начебто, від імені Національної поліції України, електронних листів, із вкладеннями у вигляді захищених паролем DOCX-документів, наприклад «Повідомлення про вчинення злочину (Білоус Олексій Сергійович).docx» або «Повідомлення про вчинення злочину.docx».
Згадані документи містять вбудовані об’єкти, активація яких призведе до створення і запуску на комп’ютері Javascript-файлу, наприклад «GSU207@POLICE.GOV.UA - Повідомлення (2).js». Останній, за допомогою powershell здійснить підключення до сервісу Discord та завантажить і виконає EXE-файл, що призведе до ураження комп’ютера жертви шкідливою програмою OutSteel (дата компіляції: 30.01.2022).
Додаткова інформація
Рекомендуємо заблокувати доступ до сервісів в мережі Інтернет, використання яких не є необхідним і/або може створювати додаткові ризики (наприклад, Discord).
Звертаємо увагу на коректність налаштування політик безпеки і засобів захисту комп’ютера, а саме:
- заборонити процесам програм MS Office (зокрема, WINWORD.EXE) запускати потенційно небезпечні програми, в даному випадку – wscript.exe (Sysmon EventID: 1);
- контролювати мережеві з’єднання (Sysmon EventID: 3,22) потенційно небезпечних програм (powershell.exe тощо)
Графічні зображення
Рис. 1 Приклад електронного листа та шкідливого документу
Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.
Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.