Маскировался под сайт президента. Госспецсвязи заблокировала фишинговый сайт
Программа предназначалась для поиска и эксфильтрации документов, отметили на сайте правительственной команды реагирования на компьютерные чрезвычайные события Украины Cert-Ua.
Люди получали письма со ссылкой на страницу фальшивого веб-сайта "Полный список высокооплачиваемых должностей", рассказали в Госспецсвязи. После перехода по ссылке на компьютер пользователя загружался файл, после открытия которого запускались вредоносные процессы загрузки вируса, сбор информации о конфигурации компьютера и информации о пользователе.
По состоянию на 15.15 13 июля доступ к веб-сайту был заблокирован.
В процессе исследования инцидента было установлено, что использование подобных тактик, техник процедур и объектов атаки, а также аналогичных образцов вредоносных программ отслеживается, по меньшей мере, с апреля 2021 года.
Контекст:
В 2020 году, по данным Совета национальной безопасности и обороны, в Украине зафиксировали не менее 1 млн кибератак. Уязвимые веб-серверы государственных органов инфицировались вирусом, который скрыто делает их элементом бот-сети, используемой для DDoS-атак на другие ресурсы. Системы безопасности интернет-провайдеров определяли скомпрометированные веб-серверы как источник атак и начинали блокировать их работу путем автоматического внесения в черные списки.
В 2021 году уже неоднократно были зафиксированы и заблокированы DDoS-атаки на веб-сайты Офиса президента Украины, СБУ, сайт ВМС Украины и другие ресурсы.
СНБО 22 февраля предупреждал, что злоумышленники начали использовать новый механизм кибератак на сайты сектора безопасности и обороны Украины. 24 февраля СНБО сообщил о кибератаках на систему документооборота госорганов вирусом, похожим на Petya.