Урядовою командою реагування на компʼютерні надзвичайні події України CERT-UA від учасника інформаційного обміну отримано електронний лист з темою «Кібератака», надісланий, начебто, від імені CERT-UA із вкладенням у вигляді захищеного паролем RAR-архіву «UkrScanner.rar».
- У чатбота єВорог зʼявилися копії: як не потрапити на фейк?
- США обіцяють до 15 млн доларів за інформацію про хакерів Conti з росії
- Китайські гіганти Lenovo та Xiaomi тихо йдуть з ринку росії
Встановлено, що згаданий архів містить одноіменний SFX-файл, який, у свою чергу, містить шкідливу програму CredoMap_v2. Відмінність цієї версії стілеру від попередньої полягає у використанні протоколу HTTP для ексфільтрації даних. За допомогою HTTP POST-запитів викрадені автентифікаційні дані надсилаються на вебресурс, розгорнутий на платформі Pipedream.
Активність асоційовано з діяльністю групи APT28 (UAC-0028). CERT-UA вжито заходів з блокування ресурсу. Разом з тим, у разі отримання подібних листів, необхідно про це негайно проінформувати.
Рекомендації
- Для розповсюдження шкідливих програм, посилань тощо зловмисники використовують актуальні теми та скомпрометовані електронні адреси співробітників державних органів України. Наголошуємо на необхідності бути пильними (наявність у листі паролю до вкладення – приклад однієї з ознак потенційної загрози).
- Для обміну інформації про кіберзагрози CERT-UA використовує платформу MISP, а також електронну пошту із застосуванням елекронних цифрових підписів.
- Запуск сторонніх виконуваних файлів має бути блокований на рівні механізмів операційної системи і/або засобів захисту.