Національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA продовжує фіксувати нові, складні кібератаки, спрямовані на державні органи України. Ці цілеспрямовані кампанії свідчать про постійну загрозу у кіберпросторі та вимагають посиленої уваги до питань кібербезпеки. Зловмисники застосовують багатоетапний ланцюжок ураження, який починається з надсилання шкідливих документів через месенджер Signal, що додає складності у виявленні та блокуванні цих загроз.Головна мета цих кібератак залишається незмінною: отримання несанкціонованого віддаленого доступу до комп’ютерних систем державних установ, шпигунство та системне викрадення конфіденційних даних. Такі дії становлять серйозну загрозу національній безпеці, порушуючи функціонування критично важливих державних інституцій та компрометуючи важливу інформацію.Як розгортається цей складний механізм атаки?1️⃣ Початкова фаза атаки: Усе починається з того, що кіберзловмисник, маючи глибоке знання про свою ціль, надсилає через месенджер Signal документ Microsoft Word, такий як “Акт.doc” або подібний, з вбудованим шкідливим макросом. Використання Signal може ввести в оману користувача, створюючи ілюзію довіреного джерела, що робить цей вектор атаки особливо небезпечним.2️⃣ Активація та закріплення: Після відкриття документа та подальшої активації макросу – що часто вимагає від користувача певних дій, таких як натискання кнопки “Увімкнути вміст” – на комп’ютері жертви запускається прихований механізм зараження. Цей шкідливий код забезпечує своє закріплення в системі, дозволяючи зловмисникам зберігати доступ навіть після перезавантаження системи.3️⃣ Запуск фреймворку COVENANT: Наступним ключовим кроком є активація в пам’яті комп’ютера компонента хакерського фреймворку під назвою COVENANT. Цей фреймворк є потужним інструментом для розробки та розгортання шкідливого програмного забезпечення. Він використовує легітимний хмарний сервіс Koofr API для отримання віддалених команд від зловмисників, що дозволяє їм керувати подальшими діями без прямого встановлення зв’язку з зараженим комп’ютером. Це ускладнює виявлення шкідливої активності стандартними засобами захисту.4️⃣ Розгортання BEARDSHELL: Через фреймворк COVENANT на комп’ютер жертви завантажується та запускається основне шпигунське програмне забезпечення – бекдор під назвою BEARDSHELL. Ця програма надає хакерам повний контроль над ураженим пристроєм, дозволяючи їм виконувати широкий спектр шкідливих дій: від викрадення файлів та перехоплення комунікацій до встановлення додаткових компонентів та маніпуляцій з даними. Це є вершиною ланцюжка зараження, забезпечуючи зловмисникам довгостроковий доступ та можливість реалізації їхніх шпигунських цілей.CERT-UA ретельно відстежує ці кіберінциденти та пов’язує цю деструктивну активність з хакерським угрупованням UAC-0001, також відомим як APT28. За наявними даними, це угруповання контролюється російськими спецслужбами, що підкреслює державний рівень загрози та її геополітичний контекст. Захист державних органів від таких складних кібератак є пріоритетним завданням для забезпечення стабільності та безпеки країни. Користувачам та адміністраторам систем критично важливо бути пильними та дотримуватися правил кібергігієни, щоб мінімізувати ризики подібних інцидентів.Більше інформації про ці атаки та рекомендації щодо захисту можна знайти на офіційних ресурсах CERT-UA.