Ukraina. Hakerzy podszywają się pod Uniwersytet Obrony Narodowej

Zespół reagowania na incydenty Ukrainy (CERT-UA) ujawnił kampanię, w ramach którejhakerzy grupy  UAC-0057 podszywają się pod Uniwersytet Obrony Narodowej w Kijowi. 

Infekcja urządzeń

Atakujący rozsyłają wiadomości zawierające plik „.rar". Jego otwarcie prowadzi do utworzenia dokumentu (przynęty), odnoszącego się rzekomo do kwestii przeciwdziałania rosyjskiej agresji. W praktyce jednak dochodzi do infekcji urządzenia oprogramowaniem Cobalt Strike Beacon (oprogramowanie do emulacji zagrożeń) – wskazuje Państwowa Służba Specjalnej Łączności i Ochrony Informacji Ukrainy (SSSCIP).

Podczas kampanii sprawcy wykorzystują lukę CVE-2023-38831 w WinRAR – wynika z analizy CERT-UA.

Phishing – metoda hakerów

Jak przypomina CERT-UA, nie jest to pierwszy tego typu cyberatak wspomnianej grupy. Hakerzy już wcześniej podszywali się pod uniwersytet, wykorzystując m.in. jego godło, aby wzbudzić zaufanie odbiorców. 

UAC-0057 często stosuje również metodę wysyłania maili z rzekomymi rachunkami lub przelewami środków w celu infekowania urządzeń oprogramowaniem PicassoLoader. Ataki wymierzone są głównie w agencje rządowe. 

SSSCIP ostrzega, że hakerzy wykorzystują również maile phishingowe, podszywając się pod pomoc techniczną (np. „Wykryto podejrzaną aktywność"). W treści może znajdować się plik „Ostrzeżenie o bezpieczeństwie.pdf", który stanowi zagrożenie dla użytkowników.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].