Оперативний центр реагування на кіберінциденти Державного центру кіберзахисту України підготував детальний аналіз діяльності кампанії UAC-0114, таргетованої на державні установи України та Республіки Польща. 

Минулого тижня Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) виявила вебсторінку, яка імітує офіційний вебресурс Міністерства закордонних справ України. У межах співпраці із CERT Polska та CSIRT MON (Республіка Польща) виявлені аналогічні фішингові ресурси, які імітують офіційні вебсторінки МЗС України, Служби безпеки України, а також Поліції Польщі. Згадана активність, як і активність у червні 2022 року (тоді подібна фішингова вебсторінка імітувала вебінтерфейс поштового серверу Міністерства оборони України), відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern).

UAC-0114 (відома як WinterVivern) — це група невизначених осіб (де, ймовірно, присутні російськомовні учасники), чия діяльність спрямована на європейські державні організації.

У своєму звіті Оперативний центр реагування на кіберінциденти проаналізував їхню нещодавню кампанію, спрямовану на українські та польські урядові організації, з використанням фейкових вебсторінок. Ці сторінки видають себе за справжні вебресурси Міністерства закордонних справ України та Центрального бюро боротьби з кіберзлочинністю Польщі.

Тактики, техніки та процедури, які використовували зловмисники, – доволі відомі: розсилання електронних листів на теми, пов’язані зі скануванням наявності зловмисного програмного забезпечення. Аналіз активності останніх кампаній підтверджує, що техніка фішингу залишається основним вектором атаки. Однак тепер замість документів Microsoft Excel зі шкідливими макросами XLM, що використовувалися в попередніх кампаніях, приписуваних групі, використовується фішингове посилання. Посилання веде на підроблену сторінку вебсайту, де розміщене зловмисне програмне забезпечення.

Згідно з повідомленням CERT-UA, така ж методика була застосована і під час кібератаки, здійсненої у червні 2022 року з використанням фішингового посилання на шахрайську вебсторінку, що імітує вебінтерфейс поштової служби Міністерства оборони України.

До того ж, один зі шкідливих файлів .exe (шкідливе ПЗ APERETIF), який використовувався під час цієї кібератаки, містить певний шлях «C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb», що дозволяє з високим рівнем достовірності зробити припущення про причетність до групи російськомовних учасників.

Виходячи з дати компіляції, початок використання шкідливого ПЗ APERETIF – не раніше 25 травня 2022 року.

Детальний аналіз активності, яка представляє потенційний ланцюжок зараження, розглядається у звіті.

Державна служба спеціального зв'язку та захисту інформації України