Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA зафіксувала нову хвилю кібератак, спрямованих проти державних установ України. Зловмисники з хакерського угруповання UAC-0057 використовують нову схему, маскуючи шкідливе програмне забезпечення під повідомлення про успішне завершення курсів на популярній онлайн-платформі Prometheus.
Про це розповідає Finway
«Цього разу зловмисники з хакерського угруповання UAC-0057 маскують шкідливе програмне забезпечення під повідомлення про успішне завершення курсів на популярній онлайн-платформі Prometheus».
Механізм фішингової атаки
Атаки, які фахівці почали фіксувати ще навесні 2026 року, спрямовані переважно на співробітників державних організацій. Хакери розсилають фішингові листи, часто використовуючи вже скомпрометовані облікові записи українських компаній та установ. Жертва отримує повідомлення, яке імітує офіційний лист від освітньої платформи, наприклад, із підробленої адреси, що містить інформацію про згенерований сертифікат. До листа додається PDF-документ, виконаний у стилі офіційної кореспонденції. В цьому файлі міститься посилання, що веде на домени в зоні .icu. Перехід за таким посиланням призводить до автоматичного завантаження ZIP-архіву з прихованим шкідливим JavaScript-файлом, запуск якого ініціює зараження комп’ютера.
Наслідки та рекомендації щодо захисту
На фінальному етапі атаки на пристрій жертви може бути встановлено компонент фреймворку Cobalt Strike, що дозволяє хакерам отримати повний віддалений контроль над комп’ютером. Для маскування власної інфраструктури управління зловмисники застосовують сервіси Cloudflare, що ускладнює виявлення атакуючих серверів.
CERT-UA радить системним адміністраторам і спеціалістам з кібербезпеки впровадити базові заходи захисту для зменшення ризиків проникнення шкідливого програмного забезпечення. Серед ключових порад – обмежити можливість запуску wscript.exe для облікових записів звичайних працівників. Держспецзв’язку також закликає бути уважними до підозрілих листів, ретельно перевіряти адресу відправника та не переходити за сумнівними посиланнями, навіть якщо вони розміщені у вкладених файлах популярних форматів.
Раніше було зафіксовано випадки масової розсилки електронних листів зі шкідливими вкладеннями, які маскувалися під офіційні повідомлення від фінансових установ, зокрема від НБУ.