Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA попередила про нову хвилю хакерських кампаній, які розповсюджують зловмисне програмне забезпечення IcedID та використовують експлойти Zimbra з метою крадіжки конфіденційної інформації.

Послідовність зараження починається з електронного листа, що містить документ Microsoft Excel Мобілізаційний реєстр.xls.

З’ясовано, що у разі відкриття документу та активації макросу, останній забезпечить завантаження і запуск виконуваного файлу. Завантажений EXE-файл забезпечить дешифрування та запуск на комп’ютері шкідливої програми GzipLoader, яка, в свою чергу, здійснить завантаження, дешифрування та запуск шкідливої програми IcedID. Згадана шкідлива програма (також відома як BokBot) відноситься до класу “банківських троянських програм”, та, серед іншого, забезпечує викрадення автентифікаційних даних.

З помірним рівнем впевненості виявлену активність CERT-UA асоціює з діяльністю групи UAC-0041.

Виявлено нову кібератаку на державні організації України з використанням шкідливої програми IcedID

Шкідливе програмне забезпечення для крадіжки інформації, також відоме як BokBot, йшло за аналогією з TrickBot, Emotet і ZLoader, розвиваючись від свого раннього коріння як банківський троян до повноцінної служби злочинного програмного забезпечення, яка забезпечує отримання наступного етапу такого як програми-вимагачі.

Вторгнення є продовженням зловмисної кіберактивності, спрямованої на Україну з початку року. Нещодавно CERT-UA також розкрив кібератаку російських хакерів, що намагались саботувати діяльність неназваного постачальника енергії в країні.