StudiO

Публікації

Фішингові атаки групи APT28 (UAC-0028) з метою отримання автентифікаційних даних до публічних поштових сервісів (CERT-UA#6975)

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено HTML-файли, які імітують вебінтерфейс поштових сервісів (зокрема, UKR.NET, Yahoo.com) та реалізують технічну можливість ексфільтрації введених жертвою автентифікаційних даних за допомогою HTTP POST-запитів. При цьому, передавання викрадених даних здійснюється за допомогою заздалегдіь скомпрометованих пристроїв Ubiquiti (EdgeOS). Posted from: this blog via Microsoft Power Automate2023-07-08 03:50:10Z .

Цільова кібератака UAC-0057 у відношенні державних органів із застосуванням PicassoLoader/njRAT (CERT-UA#6948)

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено XLS-документи "PerekazF173_04072023.xls" та "Rahunok_05072023.xls", що містять як легітимний макрос, так і макрос, який здійснить декодування, забезпечення персистентності та запуск шкідливої програми PicassoLoader. Posted from: this blog via Microsoft Power Automate2023-07-07 10:27:32Z .

Цільова атака з використанням тематики членства України в Організації Північноатлантичного договору (CERT-UA#6940)

Урядовою командою реагування на комп'ютерні надзвичайні події CERT-UA виявлено вебсайт hxxps://www.ukrainianworldcongress[.]info/, що копіює англійську версію вебресурсу міжнародної неурядової організації "Світовий конґрес українців" (легітимна сторінка hxxps://ukrainianworldcongress[.]org/). Posted from: this blog via Microsoft Power Automate2023-07-05 08:10:33Z .

Групою APT28 застосовано три експлойти для Roundcube (CVE-2020-35730, CVE-2021-44026, CVE-2020-12641) під час чергової шпигунської кампанії (CERT-UA#6805)

Від учасника інформаційного обміну отримано оперативну інформацію щодо виявлення мережевих з'єднань між інформаційно-комунікаційною системою (ІКС) державної організації України та інфраструктурою, що асоціється з угрупуванням APT28. Posted from: this blog via Microsoft Power Automate2023-06-20 11:53:18Z .

Цільові кібератаки UAC-0036 (COLDRVIER) у відношенні користувачів сервісу UKR.NET (CERT-UA#6858)

Від учасника інформаційного обміну отримано електронний лист з темою "Помічена підозріла активність @UKR.NET" та додатком у вигляді PDF-файлу "Попередження про безпеку.pdf" надісланий, начебто, від імені технічної підтримки UKR.NET (електронна адреса відправника: "account.support.0@ukr.net"). Posted from: this blog via Microsoft Power Automate2023-06-19 02:50:20Z .

Кібератака групи UAC-0057 (GhostWriter) у відношенні державної організації України з використанням PicassoLoader та Cobalt Strike Beacon (CERT-UA#6852)

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено PPT-документ "daewdfq342r.ppt", що містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняхівського. Posted from: this blog via Microsoft Power Automate2023-06-16 07:54:17Z .

Розсилання SMS-повідомлень з темою судових повісток з використанням шахрайського альфа-імені "SUDpovistka" (CERT-UA#6804)

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA від учасників інформаційного обміну отримано інформацію щодо фактів розповсюдження SMS-повідомлень з використанням підробного альфа-імені "SUDpovistka" (легітимне альфа-ім'я: "SUDPOVISTKA"). Posted from: this blog via Microsoft Power Automate2023-06-02 12:11:31Z .