Урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA), що функціонує при Держспецзв’язку, повідомила про появу нової масштабної схеми кібератак, спрямованої на державні організації. Зловмисники з угруповання UAC-0057 використовують соціальну інженерію, маскуючи шкідливе програмне забезпечення під розсилки про нібито успішне завершення навчання на онлайн-платформі Prometheus.
Про це розповідає ProIT
Механізм фішингової атаки
Серія кібератак, яку фахівці спостерігають із весни 2026 року, націлена передусім на працівників держустанов. Хакери для розсилки фішингових повідомлень часто користуються вже скомпрометованими акаунтами українських організацій. Жертва отримує електронного листа, який виглядає як офіційне повідомлення від Prometheus (наприклад, із підробленої адреси [email protected]), у якому йдеться про видачу сертифіката. До листа додається PDF-файл, стилізований під справжній документ. У цьому файлі міститься посилання, що веде на домени в зоні .icu. Перехід за цим посиланням автоматично запускає завантаження ZIP-архіву, всередині якого прихований шкідливий JavaScript-файл. Його запуск спричиняє інфекцію операційної системи й відкриває доступ до комп’ютера для зловмисників.
“У CERT-UA наполегливо рекомендують системним адміністраторам та фахівцям з кібербезпеки вжити базових заходів для зменшення площі атаки. Найголовніший крок для нейтралізації саме цієї загрози – обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів”.
Наслідки атаки та рекомендації щодо захисту
Експерти попереджають, що на завершальному етапі атаки на пристрій жертви потрапляє компонент фреймворку Cobalt Strike, який дає хакерам повний контроль над зараженим комп’ютером. Для маскування своєї інфраструктури зловмисники активно використовують сервіси Cloudflare.
З метою мінімізації ризиків CERT-UA радить системним адміністраторам та фахівцям з інформаційної безпеки блокувати можливість запуску wscript.exe для користувачів, які не мають адміністративних прав. Окрім того, працівникам рекомендується уважно перевіряти адресу відправника електронних листів та не переходити за підозрілими посиланнями, навіть якщо вони містяться у звичних форматах вкладених документів.
Варто додати, що схожі фішингові кампанії в Україні тривають і в інших сферах: нещодавно НБУ інформував про масову розсилку шкідливих листів, замаскованих під офіційні повідомлення від фінансової установи.