Команда CERT-UA зафиксировала кибератаку на объект критической энергетической инфраструктуры - Госспецсвязи

Хакерская группировка АРТ28, которую связывают со спецслужбами РФ, предприняла попытку атаки на объект критической энергетической инфраструктуры, сообщила Государственная служба специальной связи и защиты информации (Госспецсвязи) в Telegram-канале.

"Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA, при Госспецсвязи зафиксировала и исследовала целевую кибератаку группировки АРТ28 на объект критической энергетической инфраструктуры", - сказано в сообщении.

Отмечается, что злоумышленники пытались осуществить атаку с помощью распространения сообщений электронной почты с поддельным адресом отправителя и ссылкой на zip-архив, в частности" photo.zip", открытие которого в итоге могло дать хаккерам доступ к системе организации и ее данным.

Указывается, что кибератака осуществлялась с использованием легитимных сервисов (в частности, Mockbin) и функционала штатных программ.

"Ответственному сотруднику указанного объекта критической энергетической инфраструктуры удалось избежать кибератаки благодаря ограниченной возможности доступа к вебресурсам сервиса Mockbin (mockbin.org, mocky.io) и блокированию запуска Windows Script Host (зокрема, "wscript.exe") на компьютере", - отмечается в сообщении.

В Госспецсвязи напомнили, что один из первых случаев использования сервиса Mockbin был зафиксирован еще в апреле 2023 года.

"Очевидно, что с целью обхода средств защиты злоумышленники продолжают использовать функционал штатных программ (так называемые LOLBAS - Living Off The Land Binaries, Scripts and Libraries), а для создания канала управления злоупотребляют соответствующими сервисами”, - констатировали в Госспецсвязи.

Отмечается, что хаккеры группировки АРТ28, которая также известна как Pawn Storm, Fancy Bear, BlueDelta и может быть связана со спецслужбами российской федерации, в июле пытались осуществить кибератаку, направленную на похищение данных украинцев для входа в почтовые сервисы, в июне организовать шпионскую кампанию (была обнаружена в сотрудничестве с Recorded Future), в апреле – атаковать госорганы фейковыми "обновлениями операционной системы".

Источник: https://t.me/dsszzi_official/6222