"Дівчатка" з угрупування UAC-0184 полюють на документи та месенджери представників Сил оборони України

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються організаційно-технічні заходи із запобігання, виявлення та реагування на кіберінциденти і кібератаки. Відтак, протягом 2024 року фіксується підвищена активність угрупування UAC-0184, що має на меті отримання доступу до комп'ютерів представників Сил оборони України з метою викрадення документів та даних месенджерів.

Як правило, основним каналом доставки шкідливих програм є популярні месенджери, а методи первинного проникнення передбачають використання елементів соціальної інженерії, серед яких, наприклад, супровідне повідомлення-приманка на тему відкриття виконавчого провадження/кримінальної справи, відео бойових дій, або запит на знайомство через популярні платформи та подальше листування з військовослужбовцем, під час якого останньому передається файл (архів) з проханням допомогти у його відкритті/обробці.

В процесі реалізації зловмисного задуму зловмисники застосовують певний набір програмного забезпечення, серед якого як комерційні програми, так і утиліти з відкритим вихідним кодом, зокрема:

  • IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE); використовується на етапі первинного ураження
  • REMCOSRAT
  • VIOTTOKEYLOGGER
  • XWORM
  • SIGTOP
  • TUSC

При цьому, SIGTOP та TUSC використовуються для викрадення та вивантаження даних з ЕОМ, зокрема, повідомлень та контактних даних Signal, який є доволі популярним серед військових.

Звертаємо увагу та просимо поставитися із розумінням до того факту, що зловмисники будуть вдосконалювати способи доставки шкідливих програм із застосуванням пропулярних месенджерів, які, з точки зору програмних засобів захисту, є недостатньо контрольованим каналом обміну інформацією. При цьому, будь-яка необачна онлайн-активність військовослужбовця (наприклад, публікація фото у військовій формі) полегшує зловмисникам визначення пріоритетних цілей для атак.

У разі виявлення будь-яких підозрілих повідомлень чи файлів необхідно невідкладно інформувати CERT-UA і/або Центр кібербезпеки ІТС (в/ч А0334; email: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її., Signal: +380673321891).

Індикатори кіберзагроз та інша технічна інформація на сайті CERT-UA


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.