07.04.2025
1 хв
764
Виявили нову хвилю кібератак на українські державні структури. Зловмисники видають себе за виробників дронів і держустанови, розсилаючи фішингові листи з метою шпигування та крадіжки даних.
З лютого 2025 року невідома група, що отримала назву UAC-0226, активно атакує Збройні сили України, правоохоронців та органи місцевої влади. Найбільше випадків зафіксовано у східних регіонах, поблизу російського кордону.
Хакери надсилають листи з інфікованими документами, теми яких імітують офіційні повідомлення про розмінування, штрафи, дрони чи компенсації. Поштові скриньки зламані або підмінені, що ускладнює виявлення загрози.
Для зараження використовують скрипт із GitHub, а також шкідливу програму GiftedCrook, яка краде історію переглядів, cookies і паролі з браузерів Chrome, Edge та Firefox. Уся викрадена інформація автоматично пересилається до Telegram-ботів.
Паралельно зафіксована активність ще одного шкідника — Wrecksteel. Він поширюється через публічні файлообмінники (DropMeFiles, Google Drive) і дозволяє зловмисникам отримувати документи, фото, презентації та навіть робити знімки екрана заражених пристроїв.
Подібні атаки — приклад класичної гібридної війни, де електронна пошта та соціальна інженерія поєднуються з відкритими інструментами на кшталт GitHub. Ворог демонструє системне розуміння внутрішніх процесів українських інституцій і використовує теми та формулювання, що викликають довіру у працівників.
UAC-0226 діє анонімно, автоматизовано та з використанням загальнодоступних інструментів, що ускладнює виявлення. Атаки особливо небезпечні для стратегічних об’єктів, які перебувають у зоні підвищеного ризику. Для зменшення загроз важливо підвищувати обізнаність працівників, посилювати контроль за вкладеннями у листах, впроваджувати двофакторну автентифікацію і відстежувати підозрілу активність у Telegram.
