Хакеры атакуют государственные органы Украины: Сert-UA рассказала об угрозе
Правительственная команда по реагированию на компьютерные угрозы (СERT-UA) зафиксировала хакерскую атаку на государственные органы Украины. Эксперты рассказали подробности на официальном сайте.
Они обнаружили, что злоумышленники распространяли среди сотрудников электронные письма, озаглавленные "Задолженность по зарплате". К нему прикреплен документ-таблица формата "xls" с таким же названием, который содержит статистические данные и макрокоманду (макрос) — программный алгоритм действий, записанный пользователем, а также приложение в виде данных, зашифрованные с помощью hex — шестнадцатеричного кода байта.
После активации макрос декодирует данные и создает на компьютере жертвы исполнительный EXE-файл под названием EXE-файл "Base-Update.exe" и сразу же его запускает — это программа, написанная на языке программирования GoLang. Она загружает и запускает еще один загрузчик, который, в свою очередь, активирует вредоносные программы GraphSteel и GrimPlant. Хакерскую атаку связывают с группой UAC-0056.
Как объяснила СERT-UA, GraphSteel является вредоносной программой, написанной на языке GoLang, которая определяет базовую информацию о компьютере (hostname, username, IP-адрес). Она передает хакерам данные для аутентификации в системе, а также может выполнять некоторые команды и выгружать файлы.
GrimPlant также разработана на GoLang для сбора информации о компьютере и выполнения команд, полученных с сервера управления. В качестве протокола используется gRPC (Protocol Buffers+HTTP/2+SSL). Адрес сервера управления передается в качестве аргумента в командной строке.
В своем Телеграм-канале Государственная служба специальной связи и защиты информации призвала получателей таких писем не открывать их, а связываться с СERT-UA по электронной почты.
