Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA виявила та дослідила факт чергової кампанії з розповсюдження хакерським угрупуванням UAC-0006 електронних листів на тему «рахунків».

Зловмисники розсилають листи з вкладенням у вигляді ZIP або RAR-архіву, що містить шкідливу програму SmokeLoader. Для надсилання застосовують легітимні скомпрометовані електронні поштові скриньки.

У CERT-UA відзначають низку змін у тактиках, техніках і процедурах UAC-0006:

• використання кількох ланцюгів ураження;
• розповсюджуваний зразок SmokeLoader містить 26 URL-адрес серверу управління бот-мережею (переважна більшість доменів не зареєстрована);
• виявлення шкідливої програми Cobalt Strike Beacon може свідчити про розширення переліку використовуваного угрупуванням інструментарію.
• Для реєстрації доменних імен та розміщення серверів управління бот-мережею зловмисники використовують російських реєстраторів доменних імен та провайдерів: @reg.ru, @nic.ru, @iqhost.ru, @macloud.ru, @cloudx.ru, які сприяють реалізації зловмисного задуму.

Будьте уважні! НЕ відкривайте підозрілі листи!