Маскировался под сайт президента. Госспецсвязи заблокировала фишинговый сайт

Программа предназначалась для поиска и эксфильтрации документов, отметили на сайте правительственной команды реагирования на компьютерные чрезвычайные события Украины Cert-Ua.

Люди получали письма со ссылкой на страницу фальшивого веб-сайта «Полный список высокооплачиваемых должностей», рассказали в Госспецсвязи. После перехода по ссылке на компьютер пользователя загружался файл, после открытия которого запускались вредоносные процессы загрузки вируса, сбор информации о конфигурации компьютера и информации пользователя.


Скриншот: cert.gov.ua

Скриншот: cert.gov.ua


По состоянию на 15.15 13 июля доступ к веб-сайту был заблокирован.

В процессе исследования инцидента было установлено, что использование подобных тактик, техник процедур и объектов атаки, а также аналогичных образцов вредоносных программ отслеживается, по меньшей мере, с апреля 2021 года.



Контекст:

В 2020 году, по данным Совета национальной безопасности и обороны, в Украине зафиксировали не менее 1 млн кибератакУязвимые веб-серверы государственных органов инфицировались вирусом, который скрыто делает их элементом бот-сети, используемой для DDoS-атак на другие ресурсы. Системы безопасности интернет-провайдеров определяли скомпрометированные веб-серверы как источник атак и начинали блокировать их работу путем автоматического внесения в черные списки.

В 2021 году уже неоднократно были зафиксированы и заблокированы DDoS-атаки на веб-сайты Офиса президента Украины, СБУсайт ВМС Украины и другие ресурсы.

СНБО 22 февраля предупреждал, что злоумышленники начали использовать новый механизм кибератак на сайты сектора безопасности и обороны Украины. 24 февраля СНБО сообщил о кибератаках на систему документооборота госорганов вирусом, похожим на Petya.