Используют электронный адрес gov.ua: российские хакеры атакуют операторов и провайдеров Украины

Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) зафиксировала хакерскую атаку на украинских интернет-провайдеров и операторов связи. Она представила отчет на официальном сайте.

Злоумышленники используют электронный адрес в правительственном домене gov.ua, предположительно, взломанный, для отправки электронных писем с темой “Первичная правовая помощь”. К ним прикреплен запароленный архив под названием “Алгоритм действий членов семьи без вести пропавшего военнослужащего LegalAid”, в котором содержится документ “Алгоритм_LegalAid.xlsm” с юридической информацией.

При открытии файла запускается программный алгоритм действий (макрос) и выполняется PowerShell-команда, которая обеспечивает скачивание и запуск загрузчика “MSCommondll.exe”. Тот, в свою очередь, приводит к установке и запуску троянской программы DarkCrystal RAT — это хакерский инструмент, который обеспечивает зломышленникам широкий доступ к системе, в том числе возможность отслеживать нажатие клавиш, проводить DDoS-атаки, выполнять команды, делать скриншоты, красть данные из буфера обмена, мессенджера Telegram и веб-браузеров.

Как пишет сайт Cyber Security News, DarkCrystal RAT создан в России, вероятно, одним человеком, использующим псевдонимы boldenis44, crystalcoder и Кодер. На российских хакерских форумах “троян” предоставляется в рамках двухмесячной подписки стоимостью 500 рублей (около $6).

“Исходя из email-адресов получателей электронных писем, а также домена управления DarkCrystal RAT предполагаем, что атака направлена ​​в отношении операторов и провайдеров телекоммуникаций Украины. В ходе предварительной атаки, 10.06.2022, объектами заинтересованности злоумышленников были медийные организации Украины”, — подытожила СERT-UA.

Ранее сообщалось, что хакеры взламывают украинцев, пугая долгами перед государством. Специалисты из СERT-UA рассказали, какие письма нельзя открывать, и предупредили о последствиях. После открытия прикрепленного файла запускается вирусная программа Cobalt Strike Beacon.

Тем временем, хакеры воруют и публикуют данные российских компаний. Во многих случаях они не просят никаких денег, а просто стремятся нанести максимальный ущерб России. В базах содержатся паспортные данные, телефоны, адреса, пароли клиентов.