Разделы
Материалы

Хакеры взламывают украинцев, пугая долгами: какие письма нельзя открывать и чем это грозит

Фото: bun.com.ua | Хакерская атака

В документах от имени Государственной налоговой службы содержится опасный вирус, который открывает доступ к компьютеру жертвы.

Хакеры атакуют жителей Украины, рассылая вредоносные письма о налоговых штрафах и ядерном терроризме. Об этом предупреждает правительственная команда реагирования на компьютерные чрезвычайные происшествия (CERT-UA), которая действует при Государственной службе специальной связи и защиты информации.

В одном из отчетов CERT-UA сообщила, что злоумышленники от имени Государственной налоговой службы Украины отправляют жертвам письма с темой "Уведомление о неуплате налога". В тексте сообщается об окончании срока оплаты налогов за второй квартал 2022 года и предлагается ознакомиться с суммой долга в прикрепленном документе. Последний имеет название "Наложение штрафных санкций.docx" ("Накладення штрафних санкцій.docx") и содержится в архиве, пароль от которого также указан в письме.

При открытии документа на устройство автоматически скачивается HTML-файл и выполняется JavaScript-код (CVE-2022-30190), который устанавливает и запускает вирусную программу Cobalt Strike Beacon. Как отмечают специалисты, таким образом хакеры орудуют уже длительное время, их активность отслеживается по идентификатору UAC-0098.

Отчет CERT-UA о кибератаке с использованием Cobalt Strike Beacon
Фото: CERT-UA

Cobalt Strike — это коммерческое программное обеспечение для имитации действий злоумышленников, которое используется для тестирования систем. Оно было украдено и взломано, а теперь активно используется злоумышленниками для осуществления кибератак. Вредоносная нагрузка внутри программы называется Beacon (маяк), она используется для соединения с командным сервером.

CERT-UA также обнаружила рассылку вредоносного документа "Реальная угроза ядерного терроризма.rtf" ("Nuclear Terrorism A Very Real Threat.rtf"). Его открытие приводит к загрузке HTML-файла и выполнению JavaScript-кода (CVE-2022-30190), который обеспечит загрузку и запуск вредоносного приложения CredoMap, которое позволяет красть данные пользователей с устройства.

"Мета-данные свидетельствуют о модификации документа 09.06.2022, а значит, его распространение могло быть осуществлено еще 10.06.2022. По совокупности характерных признаков считаем возможным ассоциировать выявленную активность с деятельностью группы APT28", — пишут эксперты. Стоит отметить, что хакерскую группу APT28 связывают с Россией.

Отчет об атаке с документом на тему ядерного терроризма
Фото: CERT-UA

Ранее писали, как украинские хакеры лишили россиян доступа к деньгам. Большое количество пользователей атаковало российские системы, что привело к сбоям в работе сайтов и мобильных приложений банков, а в результате помешало клиентам проводить банковские операции.

Сообщали также, что хакеры бесплатно "сливают" данные российских компаний для нанесения ущерба. За последние два месяца в даркнете в открытом доступе разместили более 50 баз с информацией, которой может воспользоваться любой желающий. Речь идет об именах, телефонах, адресах, паролях и паспортных данных.