Про це повідомили у Державній службі спеціального зв’язку та захисту інформації України.
Читайте также: Софія Нерсесян Батьки: Биография, личная жизнь и карьера
Для розсилки фішингових листів хакери з угруповання UAC-0057 використовують уже скомпрометовані облікові записи українських підприємств та організацій. Повідомлення надходять із темою про нібито згенерований сертифікат про навчання.
До листа додається PDF-документ, який імітує сповіщення від платформи Prometheus. Усередині файлу розміщено посилання, натискання на яке завантажує на комп’ютер ZIP-архів, в якому міститься небезпечний JavaScript-файл. Його запуск розпочинає процес інфікування системи.
Фахівці класифікували цей JS-файл як OYSTERFRESH. Його завдання — відобразити документ-приманку та записати в реєстр ОС закодоване шкідливе ПЗ OYSTERBLUES, яке збирає інформацію про комп’ютер (ім’я користувача, версію ОС, запущені процеси тощо) та відправляє її на сервер управління. На фінальному етапі атаки зловмисники можуть завантажити на пристрій компонент фреймворку Cobalt Strike, що дає їм можливість повністю контролювати систему.
Читайте также: Компанія Philips представила двосторонній монітор: ідеальне рішення для презентацій, спільної роботи та економії місця на столі
За даними спеціалістів, інфраструктура зловмисників прихована за Cloudflare, а більшість доменних імен зареєстрована в зоні .icu. Для захисту від цієї загрози CERT-UA рекомендує системним адміністраторам обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.
Угруповання UAC-0057 (також відоме як UNC1151) є давнім супротивником українських кіберфахівців. Його пов’язують зі спецслужбами Білорусі, які діють у тісній координації з військовою розвідкою росії. Раніше група неодноразово здійснювала шпигунські атаки на український державний та приватний сектори, використовуючи методи соціальної інженерії.
Читайте также: Офіційний м’яч ЧС-2026 з футболу отримав функцію бездротової зарядки. Навіщо вона потрібна