CERT-UA повідомив про чотири хвилі кібератак проти бухгалтерів за кілька днів

CERT-UA повідомив про чотири хвилі кібератак проти бухгалтерів за кілька днів

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, зафіксувала за період від 2 по 6 жовтня 2023 щонайменше чотири хвилі кібератак, здійснених угрупуванням UAC-0006 із застосуванням шкідливої програми SmokeLoader.

Для надсилання електронних листів застосовуються скомпрометовані електронні поштові скриньки, а доставка віруса на комп’ютер здійснюється кількома способами. У вкладенні до листа зазвичай міститься PDF-файл, відкриття якого призведе до завантаження архіву (вміст якого залежить від програмного забезпечення, яким його відкривають), або відразу сам архів. Запуск його шкідливого вмісту призведе до ураження комп’ютера шкідливим програмним забезпечення SmokeLoader.

Фахівці CERT-UA виявили, що сервер управління шкідливою програмою розміщений на технічному майданчику ООО «Трейдер софт» у місті Санкт-Петербург.

Типовий зловмисний задум угрупування UAC-0006 полягає в ураженні бухгалтерських комп’ютерів, за допомогою яких здійснюється забезпечення фінансової діяльності, а також викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів.

Протягом серпня–вересня 2023 року згадане угрупування вже неодноразово здійснювало спроби викрасти десятки мільйонів гривень.

Як раніше зауважували фахівці CERT-UA, активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021. У травні 2023 року зловмисники відновили свою діяльність.

Фахівці CERT-UA наголошують на необхідності першочергового убезпечення автоматизованих робочих місць бухгалтерів шляхом застосування програмних засобів захисту, обмеження можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрації вихідних інформаційних потоків. Деталі у статті «Як бути відповідальним та втримати кіберфронт».

Додатково на рівні відповідної банківської установи варто впевнитись у застосуванні базових антифрод-правил та інших налаштувань безпеки:

  • платіж на нового контрагента;
  • позалімітна сума;
  • обмеження доступу до клієнт-банку переліком довірених IP-адрес.

Раніше група UAC-0006 вже неодноразово здійснювала схожі атаки. 

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *