Государственная команда реагирования на компьютерные чрезвычайные события CERT-UA зафиксировала новую волну кибератак, направленных против государственных учреждений Украины. Злоумышленники из хакерской группы UAC-0057 используют новую схему, маскируя вредоносное программное обеспечение под сообщение об успешном завершении курсов на популярной онлайн-платформе Prometheus.
Об этом сообщает Finway
«На этот раз злоумышленники из хакерской группы UAC-0057 маскируют вредоносное программное обеспечение под сообщение об успешном завершении курсов на популярной онлайн-платформе Prometheus».
Механизм фишинговой атаки
Атаки, которые специалисты начали фиксировать еще весной 2026 года, направлены преимущественно на сотрудников государственных организаций. Хакеры рассылают фишинговые письма, часто используя уже скомпрометированные учетные записи украинских компаний и учреждений. Жертва получает сообщение, которое имитирует официальный лист от образовательной платформы, например, с поддельного адреса, содержащего информацию о сгенерированном сертификате. К письму прилагается PDF-документ, выполненный в стиле официальной корреспонденции. В этом файле содержится ссылка, ведущая на домены в зоне .icu. Переход по такой ссылке приводит к автоматической загрузке ZIP-архива с скрытым вредоносным JavaScript-файлом, запуск которого инициирует заражение компьютера.
Последствия и рекомендации по защите
На финальном этапе атаки на устройство жертвы может быть установлен компонент фреймворка Cobalt Strike, который позволяет хакерам получить полный удаленный контроль над компьютером. Для маскировки собственной инфраструктуры управления злоумышленники используют сервисы Cloudflare, что усложняет обнаружение атакующих серверов.
CERT-UA советует системным администраторам и специалистам по кибербезопасности внедрить базовые меры защиты для снижения рисков проникновения вредоносного программного обеспечения. Среди ключевых советов – ограничить возможность запуска wscript.exe для учетных записей обычных работников. Госспецсвязь также призывает быть внимательными к подозрительным письмам, тщательно проверять адрес отправителя и не переходить по сомнительным ссылкам, даже если они размещены во вложенных файлах популярных форматов.
Ранее были зафиксированы случаи массовой рассылки электронных писем с вредоносными вложениями, которые маскировались под официальные сообщения от финансовых учреждений, в частности от НБУ.