Киберпреступники рассылают вирусы под видом рекомендаций от CERT-UA - Госспецсвязи

Киберпреступники рассылают вирусы под видом рекомендаций от CERT-UA - Госспецсвязи

Киев  •  УНН

5 августа 2023, 18:32 • 289804 просмотра

КИЕВ. 5 августа. УНН. Госспецсвязи выявило рассылку якобы от имени учреждения электронных писем, содержащих опасное вложение. Если его открыть — то это приводит к поражению комп’ютера программой MerlinAgent. Об этом сообщили в Государственной службе специальной связи и защиты информации, передает УНН.

Цитата

"Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA 04 августа 2023 года получена информация о распространении писем с темой "Рекомендации CERT-UA по настройкам программ MS Office и вложением в виде файла "ВНУТРЕННИЕ КИБЕРЗАГРОЗЫ.chm", якобы, от имени "CERT-UA" с использованием электронного почтового адреса [email protected]", — говорится в сообщении.

Детали

В службе объяснили, что открытие этого файла приведет к выполнению JavaScript-кода, который запустит PowerShell-скрипт, который загрузит, расшифрует и декомпрессирует GZIP-архив "ctlhost.exe.tmp" с исполняемым файлом "ctlhost.exe" внутри.

Запуск этого файла приведет к поражению компьютера программой MerlinAgent.

"Один из первых случаев использования MerlinAgent зафиксирован 10 июля 2023 года во время осуществления кибератаки в отношении государственной организации Украины, для чего осуществлена рассылка электронных писем с темой "Обучение по БПЛА" (CERT-UA#6995)", — отмечается в заметке.

Описанная активность отслеживается по идентификатору UAC-0154.

Напомним, 12 министерств Норвегии потерпели хакерского нападения в конце июля 2023 года, дело расследует полиция.