Йде розсилка з судових серверів
З офіційних адрес судової влади відбувається розсилка з нібито судовими запитами. При цьому за посиланнями у листі завантажується шкідливе ПЗ (вірус), повідомляє Центр стратегічних комунікацій та безпеки.
"Продовжуються масовані кібератаки, що відбулися 13-14 січня", – йдеться у повідомленні.
За даними експертів центру, проблему ускладнює те, що розсилання відбувається зі справжніх поштових серверів судової влади. Таким чином, листи проходять спам-фільтри та викликають значно більше довіри.
"Можливо, скомпрометовано лише окремі адреси судів, хоча не слід виключати, що може бути скомпрометовано весь поштовий сервер", – сказано у повідомленні.
Команда реагування на надзвичайні події (CERT-UA) повідомляє, що листи містять посилання на захищені паролем RAR та/або ZIP архіви (наприклад, "Судовий запит №997836477463567677828"), розміщені на публічних сервісах Google Drive і DropMe.
У разі завантаження, розпакування та запуску вмісту архіву на комп'ютер буде встановлено легітимну програму Remote Utilities, яка надасть прихований віддалений доступ до пристрою третім особам.
Персистентність програми (здатність оновлювати активність після перезавантаження комп'ютера) забезпечується шляхом створення служби RmanService, повідомили CERT-UA.
Подібні кібератаки є систематичною активністю проти державних органів України (але не виключно) і відстежується CERT-UA за ідентифікатором UAC-0096, повідомили експерти.