U k r V i s t i

l o a d i n g
Пятница

04:30

Киев, Украина
UA | RU | EN
Главная Новости Подробности новости

Новые угрозы в киберпространстве: анализ атак на государственные органы

Анализ новых кибератак на государственные структуры и предприятия оборонной отрасли Украины.

05 Августа 2025
кибербезопасностьатакиCERT-UAкибератакизащита информации
image

Национальная команда по реагированию на киберинциденты CERT-UA обнаружила новую волну целенаправленных кибератак на государственные учреждения и предприятия оборонной сферы.

Об этом сообщает пресс-служба Госспецсвязи.

Преступная группа UAC-0099 обновила свои инструменты и теперь использует новое вредоносное ПО, такое как MATCHBOIL, MATCHWOK и DRAGSTARE. Злоумышленники используют сложную цепочку для кражи данных и получения контроля над системами.

Атака начинается с фишинговых электронных писем, замаскированных под официальные документы, например, под "судебные повестки". Эти письма содержат ссылки на легитимные файлообменные сервисы. Переход по ним инициирует загрузку ZIP-архива, содержащего вредоносный HTA-файл. Это первый этап атаки.

Запуск HTA-файла активирует VBScript, который создает два файла на компьютере жертвы: один с HEX-кодом и другой с кодом PowerShell. Создается запланированное задание для выполнения этого кода. Следующий шаг - PowerShell-скрипт декодирует данные и формирует исполняемый файл MATCHBOIL, который закрепляется в системе через запланированное задание.

Основными целями группы являются государственные органы Украины, подразделения Сил обороны и предприятия, работающие в оборонной сфере.

Исследование CERT-UA выявило три новых образца вредоносного ПО, что свидетельствует о развитии тактик группы.

MATCHBOIL (Загрузчик). Его главная задача - доставить основное вредоносное содержимое на компьютер жертвы. MATCHBOIL собирает основную информацию о системе для идентификации жертвы на сервере управления.

MATCHWOK (Обратный доступ). Позволяет злоумышленникам выполнять произвольные команды PowerShell на зараженной системе, команды поступают с сервера управления в зашифрованном виде.

DRAGSTARE (Кража данных). Осуществляет комплексный сбор данных, включая информацию о системе, данные браузеров и файлы с определенными расширениями.

РЕКОМЕНДАЦИИ ОТ CERT-UA

Для противодействия угрозам необходимо:

  • Обучать сотрудников выявлению фишинговых писем.
  • Ограничить выполнение скриптов и настроить политики безопасности для блокировки HTA-файлов.
  • Внедрить мониторинг конечных точек.
  • Обеспечить защиту сетевого периметра.
  • Регулярно обновлять программное обеспечение.

3835 image for slide
plus Created with Sketch Beta.