Киберпреступники рассылают вирусы под видом рекомендаций от CERT-UA - Госспецсвязи
Киев • УНН
КИЕВ. 5 августа. УНН. Госспецсвязи выявило рассылку якобы от имени учреждения электронных писем, содержащих опасное вложение. Если его открыть — то это приводит к поражению комп’ютера программой MerlinAgent. Об этом сообщили в Государственной службе специальной связи и защиты информации, передает УНН.
Цитата
"Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA 04 августа 2023 года получена информация о распространении писем с темой "Рекомендации CERT-UA по настройкам программ MS Office и вложением в виде файла "ВНУТРЕННИЕ КИБЕРЗАГРОЗЫ.chm", якобы, от имени "CERT-UA" с использованием электронного почтового адреса [email protected]", — говорится в сообщении.
Детали
В службе объяснили, что открытие этого файла приведет к выполнению JavaScript-кода, который запустит PowerShell-скрипт, который загрузит, расшифрует и декомпрессирует GZIP-архив "ctlhost.exe.tmp" с исполняемым файлом "ctlhost.exe" внутри.
Запуск этого файла приведет к поражению компьютера программой MerlinAgent.
"Один из первых случаев использования MerlinAgent зафиксирован 10 июля 2023 года во время осуществления кибератаки в отношении государственной организации Украины, для чего осуществлена рассылка электронных писем с темой "Обучение по БПЛА" (CERT-UA#6995)", — отмечается в заметке.
Описанная активность отслеживается по идентификатору UAC-0154.
Напомним, 12 министерств Норвегии потерпели хакерского нападения в конце июля 2023 года, дело расследует полиция.