Минулого тижня невідомі хакери здійснили спробу отримати несанкціонований доступ до великої кількості користувачів, що працюють у комерційному секторі та державних організаціях шляхом надсилання на електронні адреси електронних листів з начебто судовими запитами.
Один з таких листів надійшов і на адресу компанії Softline, після чого автоматизована система та співробітники компанії ідентифікували його як загрозу. За посиланнями в листі завантажується шкідливе програмне забезпечення (вірус). З високою ймовірністю це може бути продовженням масованих кібератак, що відбулись 13–14 січня.
Варто зазначити, що розсилка листів з вірусами є звичайною справою і спеціалісти компанії не звертають на них особливої уваги — працюють протоколи безпеки та спеціальний софт, який виявляє загрози та видаляє подібні повідомлення електронної пошти. Однак особливістю даної розсилки є те, що вона відбувалася зі справжніх поштових серверів судової влади. Таким чином листи проходять спам-фільтри та викликають значно більше довіри. Можливо, скомпрометованими є лише окремі адреси судів, хоча не варто виключати, що може бути скомпрометовано весь поштовий сервер. На жаль, свіжі зміни до кодексів, проголосовані Верховною Радою, тільки підсилюють роль електронної пошти як офіційного засобу комунікації в судовому процесі — тому подібний вектор атак буде розвиватись і надалі.
Саме тому ми вирішили повідомити компетентні органи про нову загрозу та отримали швидку реакцію. На сайтах судів, які є нібито відправниками «судових запитів», з'явились повідомлення про небезпеку, також на інцидент відреагувала організація CERT-UA, а уповноважені сисадміни оперативно змінили налаштування поштових серверів.
Наразі складно надати технічні рекомендації щодо того, як реагувати на подібні листи. Однак оскільки розповсюджувачі шкідливого програмного забезпечення використовують методи соціальної інженерії (текст сформульовано таким чином, що отримувач переадресує його на юридичний відділ), то спробуємо надати рекомендації організаційного характеру.
1. Уважно вичитуйте текст листа, який надсилається начебто від органу державної влади або державної організації: наявність русизмів, грубих стилістичних та орфографічних помилок свідчить про те, що текст писали іноземні хакери (ймовірно, російські), які не є носіями української мови.
2. Уважно подивіться на назву файлу, натиснувши праву клавішу мишки та вибравши у діалоговому меню варіант «властивості». У цьому випадку файл, замаскований як документ, насправді виявився файлом.exe (розширення виконуваного файлу, що застосовується в системах DOS, Microsoft Windows, Symbian, OS/2 та в деяких інших). У жодному разі не натискайте на нього два рази лівою клавішею мишки або не обирайте пункт «відкрити» у діалоговому меню.
3. Якщо файл все ж таки було відкрито, потрібно зупинити сервіс «RManService», видалити каталог «%PROGRAMFILES (X86)%\Remote Utilities - Host\», видалити ключ реєстру «HKLM\SOFTWARE\Usoris».
Яким шкідливим програмним забезпеченням намагалися заразити зловмисники комп'ютери користувачів?
Мова йде про RAT (Remote Access Trojan) — «Троян віддаленого адміністрування» або «Троян віддаленого управління». Найчастіше таке програмне забезпечення використовують для несанкціонованого доступу з корисливими цілями. У разі завантаження, розпакування і запуску вмісту архіву на комп’ютер жертви буде встановлено легітимну програму Remote Utilities, що надасть прихований віддалений доступ до пристрою третім особам. Персистентність програми (здатність поновлювати активність після перезавантаження комп’ютера) забезпечується шляхом створення служби «RManService».
