Кіберновини на 27 липня

В Україні  

Кібератаки групи UAC-0010 (Armageddon) з використанням шкідливої програми GammaLoad.PS1_v2

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт масового розповсюдження електронних листів з темами «Інформаційний бюлетень», «Бойове розпорядження», в тому числі начебто, від Національної академії СБ України. При цьому, електронні листи розсилаються на приватні електронні адреси об’єктів атаки.

В додатку до листа знаходиться HTM-дропер, відкриття якого призведе до створення на комп’ютері RAR-архіву, наприклад «22_07_2022.rar». Останній містить LNK-файл з релевантною для жертви назвою, наприклад, «Інформаційний бюлетень Департаменту контррозвідки Служби безпеки України від 22 липня 2022 року.lnk», а запуск файлу-ярлика призведе до завантаження і виконання HTA-файлу. Згаданий HTA-файл може містити VBScript-код, який, за допомогою PowerShell, здійснить декодування та запуск шкідливої програми GammaLoad.PS1_v2. Зауважимо, що зловмисники намагаються уникнути DNS-резолвів доменних імен серверів управління, для чого, з метою отримання A-записів (IP-адрес), використовуються сторонні сервіси, наприклад: hxxps://cloudflare-dns[.]com/dns-query, hxxps://whoer[.]net/ru/checkwhois та інші. Принагідно відмічаємо підвищення інтенсивності атак із застосуванням описаних тактик та закликаємо до вжиття системних заходів зі зменшення поверхні атаки (attack surface management), адже, наприклад, використання сторонніх поштових сервісів на службовому обладнанні нівелює існуючий периметр безпеки (вміст і вкладення електронних листів не перевіряються засобами захисту). Описана активність здійснюється групою UAC-0010 (Armageddon). ^[1]

У росії

Нова атака IT ARMY of Ukraine

IT ARMY of Ukraine провела успішну DDoS-атаку на онлайн ресурси артемія лебедєва — пропагандиста та мародера, який колись помилково вважався дизайнером. Одні з його «заслуг» це потрапляння до бази сайту «Миротворець» та запровадження санкцій РНБО ще до початку повномасштабного вторгнення рашистів. ^{[2], [3]}

У світі

Anonymous атакували Jhonlin Group

Anonymous опублікували понад 600 000 зламаних електронних (513 ГБ) листів від Jhonlin Group, індонезійського конгломерату з видобутку корисних копалин і плантацій пальмової олії. Конгломерат відомий тим, що використовує поліцію для залякування журналістів та активістів. Щонайменше один журналіст помер у в’язниці після того, як його заарештували через скарги компанії . ^[4]

В США з урядового сервера «витекли» дані

5000 електронних листів (2,7 ГБ) просочилися з урядового сервера в окрузі Бедфорд, штат Пенсільванія, з матеріалами, датованими до 5 лютого 2021 року. Спочатку інформація була передана Hollidaysburg Community Watchdog, яка надала копію Distributed Denial of Secrets для збереження від спроб цензури. ^[5]