Кібератака групи UAC-0098 на державні органи України із застосуванням фреймворку Metasploit (CERT-UA#4560)
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про нову кібератаку на державні органи України. Цього разу вона здійснюється за допомогою розсилання електронних листів із темою «Указ Президента України No 576/22 про безпрецедентні заходи безпеки». Листи містять вкладення у вигляді ISO-файлу майже з аналогічною назвою: «Указ Президента України No 151 про безпрецедентні заходи безпеки.iso». Встановлено, що згаданий ISO-файл містить документ-приманку «a.docx», LNK-файл «УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk», PowerShell-скрипт «z.ps1» та EXE-файл «b.exe». У випадку запуску LNK-файлу, останній виконає PowerShell-скрипт, який, у свою чергу, відкриє DOCX-файл та здійснить виконання файлу «b.exe». В результаті, комп’ютер буде уражено шкідливою програмою Meterpreter. Виходячи з результатів дослідження, активність асоційовано з UAC-0098. Крім того, існують підстави вважати, що згадана активність має відношення до діяльності групи TrickBot. Див. джерело
Дослідження DDoS-атак, що здійснюються в результаті ураження веб-сайтів за допомогою шкідливого JavaScript-коду BrownFlood (CERT-UA#4553)
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA у тісній взаємодії з фахівцями Національного банку України (CSIRT-NBU) вжито заходів з дослідження DDoS-атак, для реалізації яких зловмисники розміщують шкідливий JavaScript-код (BrownFlood) у структурі веб-сторінок та файлах скомпрометованих веб-сайтів (переважно, під управлінням WordPress), в результаті чого обчислювальні ресурси комп’ютерів відвідувачів таких веб-сайтів використовуються для генерації аномальної кількості запитів до об’єктів атаки, URL-адреси яких статично визначено в шкідливому JavaScript-коді. Згаданий шкідливий JavaScript-код може бути розміщено в структурі штатних файлів веб-сайту (HTML, JavaScript тощо), в тому числі, в base64-кодованому вигляді. Див. джерело
Нова атака на сайт видання DOU
Як сказано у повідомленні Telegram-каналу Редакція DOU, проблеми з сайтом спричинені DDoS-атаками. «Нас знову ддосять. Сайт працює нестабільно. Перепрошуємо», — сказано у повідомленні. Див. джерело
Привласнення понад 300 тис. грн за допомогою фішингу
Зловмисники надсилали громадянам фішингові посилання на різні сайти і у такий спосіб отримували реквізити їхніх банківських карток. За скоєне фігурантам може загрожувати до 8 років позбавлення волі. До вказаних дій причетні троє приятелів. Фігуранти вирішили «підзаробити» та зайнялися розсилкою фішингових посилань. Здебільшого фішингові ресурси копіювали сайти банків та майданчиків оголошень, де користувачі під час купівлі-продажу вводили дані своїх банківських карток. Також фішингові ресурси імітували сайт програми «Єпідтримка». Отримавши платіжні відомості, зловмисники здійснювали перекази грошей на підконтрольні рахунки. У такий спосіб вони ошукали більше 100 громадян та привласнили понад 300 тисяч гривень. Правоохоронці провели обшуки за місцями мешкання зловмисників та вилучили ноутбуки, мобільні телефони, банківські та SIM-картки. Див. джерело
Редакція «Волинь online» отримала вже 10 лист із погрозами від представників «руского міра»
Відправники підписалися як угруповання NoName057 (16). «Ми хакерське угруповання NoName057 (16) попереджуємо вас та інших представників вашого «ЗМІ»: поки ви не зупините хвилю фейків про російську федерацію, ми продовжимо класти ваш сайт. За всі ваші злочини вам доведеться відповідати по закону. Подумайте, поки не стало зовсім пізно», – зазначили в листі. Водночас зазначено, що проблем із роботою сайту чи DDoS-атак жодних не було. Див. джерело
Хакери Anonymous зламали велику енергокомпанію росії «Електроцентромонтаж»
У Мережу злили робочу документацію, включаючи технічні розрахунки та листи, в яких співробітники скаржаться на санкції та просять грошей у борг. Хакери оприлюднили 1,23 мільйона електронних листів загальним обсягом 1,7 ТБ, що датують з 2020 року до квітня 2022-го. В основі робоче листування десятків співробітників, зокрема директора московської філії Костянтина Морозова, службові документи, рахунки, чеки, відомості, розрахунки устаткування, виробничі плани. В одному з повідомлень інженер-проектувальник Андрій Борисов із костромської філії «Електроцентромонтажу» поскаржився, що потрапив під санкції та попросив у борг 20 тисяч рублів. Див. джерело
Кібератака на оператор електронних торгів «Роселторг»
Оператор електронних торгів «Роселторг» (АТ «Єдиний електронний торговий майданчик») повідомив про DDoS-атаку. «Сьогодні всі секції «Роселторг» зазнали масштабної DDoS-атаки, яка вплинула на роботу майданчика. Наша команда активно працює над усуненням проблем. Ми докладемо всіх зусиль, щоб якнайшвидше відновити працездатність, однак, якийсь час наші ресурси можуть бути недоступними. Незважаючи на це всі дані користувачів нашого майданчика знаходяться під надійним захистом». Див. джерело
Нова шпигунська програма отримує доступ до камери та мікрофона користувачів
Компанія ESET попереджає про нову активність групи кібершпигунів TA410. За даними телеметрії ESET, зловмисники націлені переважно на державний та освітній сектори у різних країнах. На думку дослідників, група TA410 складається з 3 різних підгруп (FlowingFrog, LookingFrog і JollyFrog), які використовують подібні тактики, техніки та процедури, але при цьому мають різні інструменти та цілі. Однією з шкідливих програм, яку використовують кіберзлочинці, є нова версія бекдора FlowCloud. Більшість цілей TA410 є провідними дипломатичними та освітніми організаціями, але спеціалісти ESET також виявили жертв у військовому секторі, виробничій компанії в Японії, гірничодобувному підприємстві в Індії та благодійній організації в Ізраїлі. Інфікування користувачів відбувається за допомогою використання уразливостей в Інтернет-додатках, таких як Microsoft Exchange, або надсилання листів зі шкідливими документами. «Це вказує на те, що їхні атаки цілеспрямовані, а зловмисники вибирають оптимальний метод для інфікування певної цілі», — пояснює Александр Коте Сір, дослідник ESET. Незважаючи на те, що нова версія FlowCloud, яку використовує підгрупа FlowingFrog, все ще проходить розробку та тестування, вона має ряд розширених можливостей для кібершпигунства. Зокрема шкідлива програма може перехоплювати натискання миші, активність клавіатури та вміст буфера обміну, а також інформацію про відкрите вікно. Див. джерело
Хакер зламав проект Deus Finance і викрав криптовалюту на $13,4 млн
Зловмиснику вдалося штучно завищувати вартість деяких активів, позичати кошти всередині протоколу та отримувати прибуток після погашення позики. Deus дозволяє розробникам створювати на своїй платформі фінансові послуги, такі як кредитування, торгівля ф’ючерсами та опціонами. Хакер запозичив $143 млн і зміг вивести $13,4 млн. У PeckShield попередили, що загальні втрати проекту можуть бути вищими. Це другий злом протоколу за останні два місяці. У березні невідомий атакував проект аналогічним чином та вивів $3 млн. На тлі чергової атаки хакерів вартість власного токена проекту DEUS впала за добу на 16%, за даними CoinGecko. Альткоін торгується на рівні $502, а його ринкова капіталізація становить $47,4 млн. Див. джерело
Зафіксовано рекордну DDoS-атаку потужністю 15 млн запитів на секунду
DDoS-атака тривала менше ніж 15 секунд і була запущена за допомогою ботнета, що складається з 6 тис. унікальних зламаних пристроїв. Фахівці компанії Cloudflare зафіксували атаку типу «відмова в обслуговуванні» (DDoS) з частотою 15,3 млн запитів на секунду. Експерти назвали її однією з найбільших HTTPS DDoS-атак в історії. «HTTPS DDoS-атаки обходяться дорожче з погляду необхідних обчислювальних ресурсів через вищу вартість встановлення безпечного зашифрованого TLS-з’єднання. Тому зловмиснику дорожче розпочати атаку, а жертві – зупинити її», – зазначили ІБ-експерти. Див. джерело
Київ, вул. Князів Острозьких, 32/2, бізнес-центр Senator
+38 (050) 428 44 68 (Ukraine), +1 (786) 755 8398 (USA)© 2025 ГЛОБАЛЬНИЙ ЦЕНТР ВЗАЄМОДІЇ В КІБЕРПРОСТОРІ (GC3). Всі права захищено