Государственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA), функционирующая при Госспецсвязи, сообщила о появлении новой масштабной схемы кибератак, направленной на государственные организации. Злоумышленники из группировки UAC-0057 используют социальную инженерию, маскируя вредоносное программное обеспечение под рассылки о якобы успешном завершении обучения на онлайн-платформе Prometheus.
Об этом сообщает ProIT
Механизм фишинговой атаки
Серия кибератак, которую специалисты наблюдают с весны 2026 года, нацелена прежде всего на работников госучреждений. Хакеры для рассылки фишинговых сообщений часто используют уже скомпрометированные аккаунты украинских организаций. Жертва получает электронное письмо, которое выглядит как официальное сообщение от Prometheus (например, с поддельного адреса [email protected]), в котором говорится о выдаче сертификата. К письму прикрепляется PDF-файл, стилизованный под настоящий документ. В этом файле содержится ссылка, ведущая на домены в зоне .icu. Переход по этой ссылке автоматически запускает загрузку ZIP-архива, внутри которого скрыт вредоносный JavaScript-файл. Его запуск вызывает инфекцию операционной системы и открывает доступ к компьютеру для злоумышленников.
«В CERT-UA настоятельно рекомендуют системным администраторам и специалистам по кибербезопасности принять базовые меры для уменьшения площади атаки. Главный шаг для нейтрализации именно этой угрозы – ограничить возможность запуска wscript.exe для учетных записей обычных пользователей».
Последствия атаки и рекомендации по защите
Эксперты предупреждают, что на завершающем этапе атаки на устройство жертвы попадает компонент фреймворка Cobalt Strike, который дает хакерам полный контроль над зараженным компьютером. Для маскировки своей инфраструктуры злоумышленники активно используют сервисы Cloudflare.
С целью минимизации рисков CERT-UA советует системным администраторам и специалистам по информационной безопасности блокировать возможность запуска wscript.exe для пользователей, не имеющих административных прав. Кроме того, работникам рекомендуется внимательно проверять адрес отправителя электронных писем и не переходить по подозрительным ссылкам, даже если они содержатся в привычных форматах вложенных документов.
Стоит добавить, что похожие фишинговые кампании в Украине продолжаются и в других сферах: недавно НБУ информировал о массовой рассылке вредоносных писем, замаскированных под официальные сообщения от финансового учреждения.