В Украине за последние 10 суток третий раз зафиксировали кибератаку группировки UAC-0006 с использованием писем на тему "счета/оплаты". Об этом сообщила правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая действует при Госспецсвязи.
Специалисты отметили, что в сообщении, поступающем пользователю, есть вложения в виде архивного файла, содержащего файлы и архивы с названиями типа: "Платiжна iнструкцiя iпн та вытяг з реестру", "Витяг з реeстру вiд 24.07.2023р_Код документа…".
Если пользователь откроет такие файлы, это приведет к загрузке и запуску вредоносного приложения SmokeLoader.
"Для массового распространения электронных писем злоумышленники используют бот-сети (более 1 000 компьютеров)", – говорится в сообщении.
В CERT-UA подчеркнули, что активизация группировки UAC-0006 может привести к увеличению количества случаев мошенничества с использованием систем дистанционного банковского обслуживания.
"Руководителям предприятий и бухгалтерам необходимо обратить внимание на усиление защиты автоматизированных рабочих мест, предназначенных для формирования, подписания и перевода платежей путем применения программных средств защиты. Также необходимо обратиться к системным администраторам для ограничения возможности запуска штатных утилит (wscript.exe, cscript.exe, powershell.exe, mshta.exe) и фильтрации исходящих информационных потоков", – отметили эксперты.
В Госспецсвязи добавили, что ранее эта группа уже неоднократно совершала подобные атаки.
Как ранее отмечали специалисты CERT-UA, активность группы UAC-0006 финансово мотивирована и осуществлялась с 2013 года по июль 2021 года. В мае 2023 года злоумышленники возобновили свою деятельность.
Напомним, что в преддверии годовщины полномасштабного вторжения Россия вновь совершила кибератаку на ряд веб-ресурсов украинских государственных и местных органов власти, в результате которой было модифицировано содержание нескольких страниц на этих ресурсах.