Хакери атакували українську науково-дослідну установу за допомогою макроса в Microsoft Word

Хакерська група UAC-0063 атакувала одну з вітчизняних науково-дослідних установ за допомогою макросу в документі. Подія сталася ще 8 липня. Про це повідомили на офіційному сайті Держспецзв’язку.

Зловмисники отримали доступ до облікового запису електронної пошти одного зі співробітників, скориставшись недостатньою увагою до кіберзахисту з боку організації, та розіслали шкідливий макрос у Word-документі.

Це призвело до встановлення на уражених комп’ютерах шкідливих програм HATVIBE та CHERRYSPY, що дало змогу хакерам отримати несанкціонований доступ до цих комп’ютерів.

У процесі дослідження було виявлено, що атаки з використанням схожих засобів також могли відбуватися проти Міністерства оборони Республіки Вірменія.

Є підстави асоціювати цю злочинну активність з угрупуванням APT28 (UAC-0001), що афілійоване з військовою розвідкою рф.

CERT-UA закликало не нехтувати рекомендаціями з кібербезпеки, а саме:

• налаштування двофакторної автентифікації для облікових записів електронної пошти;
• чітке розмежування рівнів доступу;
• імплементація політик для блокування можливості запуску макросів, mshta.exe, а також інших програм (зокрема інтерпретатора Python).

Нагадаємо, що у квітні російські хакери з групи UAC-0184 посилили атаки на комп’ютери українських військовослужбовців, використовуючи мессенджери та соцмережі.