Команда CERT-UA зафиксировала кибератаку на объект критической энергетической инфраструктуры - Госспецсвязи
Хакерская группировка АРТ28, которую связывают со спецслужбами РФ, предприняла попытку атаки на объект критической энергетической инфраструктуры, сообщила Государственная служба специальной связи и защиты информации (Госспецсвязи) в Telegram-канале.
"Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA, при Госспецсвязи зафиксировала и исследовала целевую кибератаку группировки АРТ28 на объект критической энергетической инфраструктуры", - сказано в сообщении.
Отмечается, что злоумышленники пытались осуществить атаку с помощью распространения сообщений электронной почты с поддельным адресом отправителя и ссылкой на zip-архив, в частности" photo.zip", открытие которого в итоге могло дать хаккерам доступ к системе организации и ее данным.
Указывается, что кибератака осуществлялась с использованием легитимных сервисов (в частности, Mockbin) и функционала штатных программ.
"Ответственному сотруднику указанного объекта критической энергетической инфраструктуры удалось избежать кибератаки благодаря ограниченной возможности доступа к вебресурсам сервиса Mockbin (mockbin.org, mocky.io) и блокированию запуска Windows Script Host (зокрема, "wscript.exe") на компьютере", - отмечается в сообщении.
В Госспецсвязи напомнили, что один из первых случаев использования сервиса Mockbin был зафиксирован еще в апреле 2023 года.
"Очевидно, что с целью обхода средств защиты злоумышленники продолжают использовать функционал штатных программ (так называемые LOLBAS - Living Off The Land Binaries, Scripts and Libraries), а для создания канала управления злоупотребляют соответствующими сервисами”, - констатировали в Госспецсвязи.
Отмечается, что хаккеры группировки АРТ28, которая также известна как Pawn Storm, Fancy Bear, BlueDelta и может быть связана со спецслужбами российской федерации, в июле пытались осуществить кибератаку, направленную на похищение данных украинцев для входа в почтовые сервисы, в июне организовать шпионскую кампанию (была обнаружена в сотрудничестве с Recorded Future), в апреле – атаковать госорганы фейковыми "обновлениями операционной системы".
Источник: https://t.me/dsszzi_official/6222
