Хакери атакують держустанови під виглядом сертифікатів від платформи Prometheus

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, що діє при Держспецзв’язку, зафіксувала нову хвилю кібератак на державні установи. Зловмисники розсилають небезпечні листи, маскуючи їх під повідомлення про успішне завершення курсів на популярній онлайн-платформі для навчання Prometheus, щоб приховано встановити шкідливе програмне забезпечення.

За даними фахівців, атаки розпочалися навесні. Для розсилки фішингу хакери часто використовують скомпрометовані облікові записи українських підприємств та організацій.

Зловмисники надсилають електронного листа з темою про згенерований сертифікат, наприклад, з підробленої адреси [email protected].

До листа додається PDF-документ, який імітує повідомлення від платформи. Усередині PDF-файлу міститься посилання (часто веде на домени в зоні .icu), натискання на яке завантажує на комп'ютер жертви ZIP-архів. У цьому архіві міститься небезпечний JavaScript-файл, запуск якого розпочинає процес інфікування системи.

Фахівці зазначають, що на фінальному етапі атаки на комп'ютер жертви може бути завантажено компонент фреймворку Cobalt Strike, який надає хакерам можливість віддаленого управління пристроєм. Саму інфраструктуру управління зловмисники традиційно ховають за сервісами Cloudflare.

Найголовніший крок для нейтралізації цієї загрози з боку системних адміністраторів – обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.