На електронну пошту надсилається лист начебто, від імені ДП «Адміністрація морських портів України»
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомляє про чергову кібератаку, яка здійснюється на державні організації України, передає Hubs.ua.
На електронну пошту організацій надсилається лист начебто, від імені ДП «Адміністрація морських портів України». При цьому до повідомлення прикріплено вкладення у вигляді RAR-архіву «порти АРК.rar» зі шкідливими файлами.
У складі RAR-архіву міститься два шкідливих документи DOCX:
- «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx»
- «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx».
У кожному з цих файлів, своєю чергою, міститься вбудована URL-адреса. У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad. Вона дозволяє зловмисникам проводити ідентифікацію комп’ютера (визначати %COMPUTERNAME% і %SYSTEMDRIVE%). Також GammaLoad проводить подальше завантаження та запуск додаткових шкідливих програм. Зберігання роботи програми забезпечується за допомогою запланованого завдання.
CERT-UA асоціює цю атаку з діяльністю групи Armageddon (ідентифікатор UAC-0010).
Нагадаємо, у Міністерстві цифрової трансформації України заявляють, що РФ стоїть за кібератакою на сайти органів державної влади 14 січня.