CERT-UA предупреждает о новых атаках APT Armageddon

Украинской группой быстрого реагирования на компьютерные инциденты (CERT-UA) получена информация о рассылке фишинговых электронных писем с темой "О проведении акции мести в Херсоне!", содержащих вложения в виде файла "План Херсон.htm". HTM-файл декодирует и создает на компьютере жертвы файл "Herson.rar", содержащий ярлык "План подхода и закладки взрывчатки на объектах критической инфростурктуры Херсона.lnk".

Если открыть LNK-файл, то он загрузит и запустит HTA-файл "precarious.xml", после чего будут созданы и исполнены файлы "desktop.txt" и "user.txt". На последнем этапе цепочки атаки загружается и исполняется вредонос GammaLoad.PS1_v2. Программа способна делать снимки экрана зараженного устройства и отправлять их на сервер злоумышленников.

Правительственные эксперты приписывают атаку группировке Armageddon APT (UAC-0010) (она же Gamaredon, Primitive Bear, Armageddon, Winterflounder или Iron Tilden), которая была вовлечена в длинную череду атак на украинские правительственные организации.

Напомним, ранее APT Armageddon атаковала украинские организации новым вариантом бэкдора Pteredo. Группировка проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года.