27 липня 2024 р. 10:54
(Фотоколаж: Інтент)
Електронні листи з вірусом, які останнім часом отримують журналісти та громадські діячі в Одеській області з ніби-то електронних адрес Одеської міської ради чи державних установ, можуть бути інструментом спонсорованої російськими спецслужбами хакерської групи Gamaredon (UNC530).
Про це повідомили експерти Лабораторії цифрової безпеки, яким нещодавно Інтент спрямував на експертизу такий лист, що надійшов на адресу редакції.
Вони зазначили, що у відкритому доступі знайшли аналогічні повідомлення зі шкідливим файлом. Зокрема, про це повідомили на ресурсах компаній Strike Ready, LevelBlue і Dark Atlas.
"Детальний аналіз дав змогу побачити багатокрокову фішингову схему і її російський слід. Отже, що ми бачимо? Лист нібито від Департаменту економічного розвитку Одеської міської ради, електронна адреса відправника виглядає достовірно, відсутні граматичні помилки, але є коротке повідомлення і навіть підпис. Враховуючи, що людина, яка отримала цей лист, є громадським діячем в Одесі, то все виглядає цілком логічно. Оскільки ми вже знаємо, що це був фішинг, то виникають питання щодо електронної адреси відправника. У фішингових листах ми зазвичай бачимо два найпоширеніші варіанти маніпуляцій з полем відправника: підміна адреси в заголовку листа або компрометація поштового сервера. На жаль, не маючи оригіналу листа, який містить всі технічні деталі, ми не могли остаточно перевірити це", - зазначили в Цифролабі.
Експерти наголосили, що в такому випадку найбільше підозр викликає саме вкладений файл "Для_реагування_і_вжиття_заходів.xhtml". Файли з таким розширенням, як зазначають експерти, за замовчуванням відкриваються браузером як збережена вебсторінка.
Після низки кроків експерти з'ясували, що шкідливий код був захований всередині інших, як у матрьошці. Через це на момент аналізу більшість антивірусів не виявляла шкідливу активність вкладеного файлу. Разом із тим автоматизовані системи аналізу теж не могли виявити підозрілу активність через те, що виконання коду зупинялось, очікуючи на рух курсора.
"Зловмисники застосували прості техніки для ускладнення виявлення, такі як: очікування на рух курсора, перевірка середовища запуску, приховування коду за допомогою маніпуляцій з текстом, відстеження запуску файлу, завантаження кінцевого шкідливого коду лише за умови, що перший спрацював. Також зловмисники ймовірно підмінили електронну адресу відправника, а також адаптували вміст і назви файлів, щоб виглядати довіреним відправником", - пояснили в Цифролабі.
Як зазначають експерти простої відповіді на те, як захиститись від таких атак немає. Тому, що хакери постійно змінюють свої техніки й підходи, а якісний кіберзахист потребує комплексного підходу, зокрема спеціалістів, інструментів і налагоджених процесів в організації, а в держустанов може просто не вистачати ресурсів.
"Те, що ви можете робити, — це з підозрою ставитися до подібних імейлів та повідомлень у месенджерах. Якщо отримали файл із незвичним розширенням або архів з паролем, а повідомлення при цьому спонукає вас до дії через залякування, краще будьте екстрапильними", - порадили експерти.
Кирило Бойко
17 грудня 2024 р.
На Одещині та Миколаївщині: СБУ затримала полювальників на F-1621 грудня 2024 р.
Російські окупанти здійснили чергову спробу форсувати Дніпро19 грудня 2024 р.
На Херсонщині у людей виманили понад 100 тисяч гривень20 грудня 2024 р.
Надсилала інформацію про обстріли міста ворогу: жительку Миколаєва засудили на 15 років21 грудня 2024 р.
Вкрали гроші з картки: що робити та як повернути22 грудня 2024 р.
Військові рф полюють на мешканців Херсонщини, є загиблі16 грудня 2024 р.
Жителям Одещини пообіцяли не вимикати світло принаймні день20 грудня 2024 р.
"Коли вас хочуть з'їсти, ви не домовитеся з канібалом", - Олег Криштопа21 грудня 2024 р.
Голова Миколаївської ОВА Кім розповів про штурми Херсона окупантами18 грудня 2024 р.
Щодня гинуть люди: Херсон звернувся по допомогу22 грудня 2024 р.
Росіяни били по Херсонщині КАБами, є загиблий, поранено дитину18 грудня 2024 р.
Поліцейські моніторили порносайти та виявили модель OnlyFans з Одеси19 грудня 2024 р.
Роскомнадзор взявся за користувачів VPN на окупованих територіях15 грудня 2024 р.
В Україні впровадили нові графіки вимкнень електроенергії