Ворожі хакери активізували "полювання" на персональні дані громадян

Фахівці Урядової команди реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, вжили заходів із виявлення та реагування на кібератаку в інформаційно-комунікаційній системі одного з державних органів України.

З’ясували, що 18 та 20 квітня 2023 року на електронну адресу відомства з офіційної поштової скриньки Посольства Таджикистану в Україні (вірогідно, скомпрометованої) надійшли небезпечні електронні листи. Один із них містив додаток у вигляді документу з макросом, а другий – посилання на той самий документ. Завантаження документу та активація макросу призводять, зокрема, до встановлення на пристроях програм-шпигунів:

◾️ кейлогера LOGPIE (забезпечує збереження у файл значень натискань на клавіатуру та вмісту буферу обміну);
◾️ бекдора CHERRYSPY (забезпечує виконання Python-коду, отриманого з серверу управління).

Згадана активність відстежується за ідентифікатором UAC-0063 та здійснюється з метою шпигунства.

Додаткове вивчення інфраструктури та пов'язаних файлів дозволило фахівцям зробити висновок про те, що серед об'єктів, які цікавлять злочинну групу, є організації з Монголії, Киргизстану, Казахстану, Ізраїлю, Індії.