27 липня 2024 р. 10:54

Вірус, що атакував одеситів через адреси держустанов, може бути зброєю російських хакерів

(Фотоколаж: Інтент)

Електронні листи з вірусом, які останнім часом отримують журналісти та громадські діячі в Одеській області з ніби-то електронних адрес Одеської міської ради чи державних установ, можуть бути інструментом спонсорованої російськими спецслужбами хакерської групи Gamaredon (UNC530).

Про це повідомили експерти Лабораторії цифрової безпеки, яким нещодавно Інтент спрямував на експертизу такий лист, що надійшов на адресу редакції.

Вони зазначили, що у відкритому доступі знайшли аналогічні повідомлення зі шкідливим файлом. Зокрема, про це повідомили на ресурсах компаній Strike Ready, LevelBlue і Dark Atlas. 

"Детальний аналіз дав змогу побачити багатокрокову фішингову схему і її російський слід.  Отже, що ми бачимо? Лист нібито від Департаменту економічного розвитку Одеської міської ради, електронна адреса відправника виглядає достовірно, відсутні граматичні помилки, але є коротке повідомлення і навіть підпис. Враховуючи, що людина, яка отримала цей лист, є громадським діячем в Одесі, то все виглядає цілком логічно. Оскільки ми вже знаємо, що це був фішинг, то виникають питання щодо електронної адреси відправника. У фішингових листах ми зазвичай бачимо два найпоширеніші варіанти маніпуляцій з полем відправника: підміна адреси в заголовку листа або компрометація поштового сервера. На жаль, не маючи оригіналу листа, який містить всі технічні деталі, ми не могли остаточно перевірити це", - зазначили в Цифролабі.

Експерти наголосили, що в такому випадку найбільше підозр викликає саме вкладений файл "Для_реагування_і_вжиття_заходів.xhtml". Файли з таким розширенням, як зазначають експерти, за замовчуванням відкриваються браузером як збережена вебсторінка. 

Після низки кроків експерти з'ясували, що шкідливий код був захований всередині інших, як у матрьошці. Через це на момент аналізу більшість антивірусів не виявляла шкідливу активність вкладеного файлу. Разом із тим автоматизовані системи аналізу теж не могли виявити підозрілу активність через те, що виконання коду зупинялось, очікуючи на рух курсора.

"Зловмисники застосували прості техніки для ускладнення виявлення, такі як: очікування на рух курсора, перевірка середовища запуску, приховування коду за допомогою маніпуляцій з текстом, відстеження запуску файлу, завантаження кінцевого шкідливого коду лише за умови, що перший спрацював. Також зловмисники ймовірно підмінили електронну адресу відправника, а також адаптували вміст і назви файлів, щоб виглядати довіреним відправником", - пояснили в Цифролабі.

Як зазначають експерти простої відповіді на те, як захиститись від таких атак немає. Тому, що хакери постійно змінюють свої техніки й підходи, а якісний кіберзахист потребує комплексного підходу, зокрема спеціалістів, інструментів і налагоджених процесів в організації, а в держустанов може просто не вистачати ресурсів. 

"Те, що ви можете робити, — це з підозрою ставитися до подібних імейлів та повідомлень у месенджерах. Якщо отримали файл із незвичним розширенням або архів з паролем, а повідомлення при цьому спонукає вас до дії через залякування, краще будьте екстрапильними", - порадили експерти. 

Кирило Бойко

Також Вам може сподобатись:

17 грудня 2024 р.

На Одещині та Миколаївщині: СБУ затримала полювальників на F-16

21 грудня 2024 р.

Російські окупанти здійснили чергову спробу форсувати Дніпро

19 грудня 2024 р.

На Херсонщині у людей виманили понад 100 тисяч гривень

20 грудня 2024 р.

Надсилала інформацію про обстріли міста ворогу: жительку Миколаєва засудили на 15 років

21 грудня 2024 р.

Вкрали гроші з картки: що робити та як повернути

22 грудня 2024 р.

Військові рф полюють на мешканців Херсонщини, є загиблі

16 грудня 2024 р.

Жителям Одещини пообіцяли не вимикати світло принаймні день

20 грудня 2024 р.

"Коли вас хочуть з'їсти, ви не домовитеся з канібалом", - Олег Криштопа

21 грудня 2024 р.

Голова Миколаївської ОВА Кім розповів про штурми Херсона окупантами

Telegram-канали Півдня найбільше порушують стандарти в умовах війни

18 грудня 2024 р.

Щодня гинуть люди: Херсон звернувся по допомогу

22 грудня 2024 р.

Росіяни били по Херсонщині КАБами, є загиблий, поранено дитину

18 грудня 2024 р.

Поліцейські моніторили порносайти та виявили модель OnlyFans з Одеси

19 грудня 2024 р.

Роскомнадзор взявся за користувачів VPN на окупованих територіях

15 грудня 2024 р.

В Україні впровадили нові графіки вимкнень електроенергії