Злоумышленники рассылают украинским СМИ фишинговые письма с вредоносным вложением.
Правительственной команде реагирования на компьютерные инциденты Украины (CERT-UA) стало известно о фишинговой кампании, в рамках которой хакеры из России рассылают вредоносные письма украинским СМИ (радиостанциям, газетам, новостным агентствам и пр.). В общей сложности CERT-UA идентифицировала свыше 500 электронных адресов получателей.
Письма с темой «Список ссылок на интерактивные карты» рассылаются со взломанных почтовых ящиков правительственных учреждений. В них содержится документ «СПИСОК_посилань_на_інтерактивні_карти.docx», после открытия которого на систему получателя загружается HTML-файл и выполняется JavaScript-код, в свою очередь загружающий и выполняющий EXE-файл 2.txt. Этот файл идентифицируется как вредоносное ПО CrescentImp.
В ходе атаки злоумышленники эксплуатируют нашумевшую уязвимость CVE-2022-30190 в утилите диагностики Microsoft Windows Support Diagnostic Tool (MSDT), известную как Follina. Уязвимость позволяет удаленно выполнить код и затрагивает все поддерживаемые версии Windows. Официального исправления от Microsoft для нее нет, однако на платформе 0patch доступен неофициальный патч.
Как сообщает CERT-UA, за фишинговыми атаками на украинские СМИ может стоять APT-группа Sandworm, связываемая с правительством РФ.
Собираем и анализируем опыт профессионалов ИБ