Фахівці Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA фіксують масове розповсюдження електронних листів зі шкідливими посиланнями начебто від імені Державної служби спеціального зв’язку та захисту інформації України. Таку активність асоційовано з хакерською групою UAC-0010 (Armageddon).
Як повідомляє Держспецзв’язку, у разі переходу за посиланням із листа на комп’ютері буде створений RAR-архів (наприклад, “08.11.2022.rar”). Він містить файл-ярлик із назвою “Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk”. Відкриття цього файлу призведе до завантаження шкідливих програм – зокрема і тих, що викрадають дані.
Зазначено, що розсилка електронних листів здійснюється за допомогою сервісу @mail.gov.ua. Крім того, як і раніше, для визначення IP-адреси сервера управління використовується або третьосторонній сервіс (cloudflare-dns[.]com) або Telegram.
Хакерське угрупування UAC-0010 (Armageddon) пов’язують із фсб рф. Від початку повномасштабного вторгнення рф в Україну вони належать до переліку найактивніших угрупувань, які атакують Україну. Зазвичай зловмисники використовують болючі та важливі для українців теми.
Нагадаємо, Генеральний штаб ЗСУ та СБУ попереджав про надходження листів на електронні скриньки та у месенджери з фішинговими розсилками електронних листів нібито від їх імені. Українців також закликають не завантажувати програми із шахрайських розсилок та уважно читати електронну адресу відправника листа та перевіряти її на достовірність.
