Кіберзлочинці розсилають віруси під виглядом рекомендацій від CERT-UA — Держспецзвʼязку

Кіберзлочинці розсилають віруси під виглядом рекомендацій від CERT-UA — Держспецзвʼязку

Київ  •  УНН

5 серпня 2023, 18:32 • 289804 перегляди

КИЇВ. 5 серпня. УНН. Держспецзвʼязку виявило розсилку нібито від імені установи електронних листів, що містять небезпечне вкладення. Якщо його відкрити — то це призводить до ураження комп’ютера програмою MerlinAgent. Про це повідомили у Державній службі спеціального зв’язку та захисту інформації, передає УНН.

Цитата

"Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 04 серпня 2023 року отримано інформацію щодо розповсюдження листів з темою "Рекомендації CERT-UA з налаштувань програм MS Office" та вкладенням у вигляді файлу "ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm", нібито, від імені "CERT-UA" з використанням електронної поштової адреси [email protected]", — йдеться у повідомленні.

Деталі

У службі пояснили, що відкриття цього файлу призведе до виконання JavaScript-коду, який запустить PowerShell-скрипт, що завантажить, розшифрує та декомпресує GZIP-архів "ctlhost.exe.tmp" із виконуваним файлом "ctlhost.exe" всередині.

Запуск цього файлу призведе до ураження комп’ютера програмою MerlinAgent.

"Один з перших випадків використання MerlinAgent зафіксовано 10 липня 2023 року під час здійснення кібератаки у відношенні державної організації України, для чого здійснено розсилку електронних листів з темою "Навчання по БПЛА" (CERT-UA#6995)", — зазначається в дописі.

Описана активність відстежується за ідентифікатором UAC-0154.

Нагадаємо, 12 міністерств Норвегії зазнали хакерського нападу в кінці липня 2023 року, справу розслідує поліція.