Кібервійна триває: ворожі хакери спробували завдати подвійного удару

Кібервійна триває, і ворожі кіберзловмисники продовжують спроби завдати шкоди українській інформаційній інфраструктурі чи зібрати важливу інформацію. Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, зафіксувала розповсюдження небезпечних електронних листів із темою "Заборгованість по зарплаті" серед державних органів України, передає редакція. 

У додатку до листа розміщений документ "Заборгованість по зарплаті.xls", який містить легітимні статистичні дані та макрос. Водночас до згаданого документу у вигляді вкладення додано кодовані дані. Макрос після активації здійснить їх декодування, створить EXE-файлу "Base-Update.exe" на комп'ютері та запустить його.

Згаданий файл здійснить завантаження і запуск іншого завантажувача, який, своєю чергою, забезпечить завантаження і запуск на комп'ютері одразу двох шкідливих програм: GraphSteel та GrimPlant.

Виявлену активність асоційовано з дільністю групи UAC-0056.

У разі виявлення вказаного повідомлення просимо не відкривати файлів та негайно повідомити про це на пошту [email protected].

У додатку до листа знаходиться документ "Заборгованість по зарплаті.xls", який містить легітимні статистичні дані та макрос. Разом з тим, до згаданого документу у вигляді вкладення додано hex-кодовані дані. Макрос, після активації, здійснить декодування даних, створення EXE-файлу "Base-Update.exe" на комп'ютері та його виконання.

Згаданий файл є програмою-завантажувачем, розробленою з використанням мови програмування GoLang. Програма здійснить завантаження і запуск іншого завантажувача, який, у свою чергу, забезпечить завантаження і запуск на комп'ютері шкідливих програм GraphSteel та GrimPlant.