Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 12 серпня 2024 року зафіксовано факт масового розповсюдження електронних листів, начебто, від імені Служби безпеки України, що містять посилання для завантаження файлу з назвою "Документи.zip".
Насправді, у випадку переходу за посиланням на комп'ютер буде завантажено MSI-файл (наприклад, "Scan_docs#40562153.msi"), відкриття якого призведе до запуску шкідливої програми ANONVNC (MESHAGENT), що створить технічні можливості для прихованого несанкціонованого доступу до ЕОМ.
Станом на 12:00 12.08.2024 CERT-UA виявлено більше 100 уражених комп'ютерів, які, в тому числі, функціонують в межах державних органів та органів місцевого самоврядування України.
Шкідлива програма ANONVNC, як її називає розробник, містить конфігураційний файл, формат якого ідентичний до конфігураційного файлу програми MESHAGENT, вихідний код якої доступний на Github (https://github.com/Ylianst/MeshAgent), що може свідчити про запозичення вихідного коду. У зв'язку із зазначеним, виявлений зразок програми тимчасово іменуємо ANONVNC, додаючи в дужках назву MESHAGENT.
Описана активність відстежується за ідентифікатором UAC-0198.
Зауважимо, що пов'язані кібератаки здійснюються, щонайменше, з липня 2024 року та можуть мати більш широку географію; тільки в каталогах файлового сервісу pCloud, починаючи з 01.08.2024, розміщено більше тисячі EXE та MSI файлів (до статті додано й інші індикатори, не пов'язані з кампанією 12.08.2024).
CERT-UA вжито невідкладних заходів щодо зменшення вірогідності реалізації кіберзагрози.
Детальніше за посиланням: https://cert.gov.ua/article/6280345