КИЇВ. 5 серпня. УНН. Держспецзвʼязку виявило розсилку нібито від імені установи електронних листів, що містять небезпечне вкладення. Якщо його відкрити — то це призводить до ураження комп’ютера програмою MerlinAgent. Про це повідомили у Державній службі спеціального зв’язку та захисту інформації, передає УНН.
Цитата
“Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 04 серпня 2023 року отримано інформацію щодо розповсюдження листів з темою “Рекомендації CERT-UA з налаштувань програм MS Office” та вкладенням у вигляді файлу “ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm”, нібито, від імені “CERT-UA” з використанням електронної поштової адреси [email protected]“, — йдеться у повідомленні.
Деталі
У службі пояснили, що відкриття цього файлу призведе до виконання JavaScript-коду, який запустить PowerShell-скрипт, що завантажить, розшифрує та декомпресує GZIP-архів “ctlhost.exe.tmp” із виконуваним файлом “ctlhost.exe” всередині.
Запуск цього файлу призведе до ураження комп’ютера програмою MerlinAgent.
“Один з перших випадків використання MerlinAgent зафіксовано 10 липня 2023 року під час здійснення кібератаки у відношенні державної організації України, для чого здійснено розсилку електронних листів з темою “Навчання по БПЛА” (CERT-UA#6995)”, — зазначається в дописі.
Описана активність відстежується за ідентифікатором UAC-0154.
Нагадаємо, 12 міністерств Норвегії зазнали хакерського нападу в кінці липня 2023 року, справу розслідує поліція.
