Кібератаки на державні організації України продовжуються

Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб’єкту координації отримано інформацію щодо розповсюдження, начебто, від імені Національної поліції України, електронних листів, із вкладеннями у вигляді захищених паролем DOCX-документів, наприклад «Повідомлення про вчинення злочину (Білоус Олексій Сергійович).docx» або «Повідомлення про вчинення злочину.docx».

Згадані документи містять вбудовані об’єкти, активація яких призведе до створення і запуску на комп’ютері Javascript-файлу, наприклад «GSU207@POLICE.GOV.UA - Повідомлення (2).js». Останній, за допомогою powershell здійснить підключення до сервісу Discord та завантажить і виконає EXE-файл, що призведе до ураження комп’ютера жертви шкідливою програмою OutSteel (дата компіляції: 30.01.2022).

Додаткова інформація 

Рекомендуємо заблокувати доступ до сервісів в мережі Інтернет, використання яких не є необхідним і/або може створювати додаткові ризики (наприклад, Discord).

Звертаємо увагу на коректність налаштування політик безпеки і засобів захисту комп’ютера, а саме: 

• заборонити процесам програм MS Office (зокрема, WINWORD.EXE) запускати потенційно небезпечні програми, в даному випадку – wscript.exe (Sysmon EventID: 1); 
• контролювати мережеві з’єднання (Sysmon EventID: 3,22) потенційно небезпечних програм (powershell.exe тощо) 

 Графічні зображення 

Рис. 1 Приклад електронного листа та шкідливого документу