Российские правительственные хакеры атаковали госслужащих Украины

Олег Иванов 09 Декабря 2019 - 08:40

Государство

Фишинг

Целевые атаки

Таргетированные атаки

Атаки на АСУ ТП

...

Российские правительственные хакеры атаковали госслужащих Украины

По сообщениям специалистов компании Anomali, российская правительственная кибергруппировка Gamaredon с середины октября атакует украинских дипломатов, военных и правоохранителей.

Свою активность Gamaredon (также известна как Primitive Bear) ведёт как минимум с середины 2013 года. Специалисты впервые проанализировали операции этой группы в апреле 2015 года.

На протяжении последних нескольких лет участники Gamaredon атаковали связанных с правительством Украины лиц. А в середине октября хакеры инициировали кампанию против украинских учреждений и отдельных дипломатов, журналистов, правоохранителей, военных и просто госслужащих.

В качестве метода доставки вредоносной программы использовался целевой фишинг с прикреплёнными к письмам вредоносными документами. Анализ этих документов показал, что их рассылка началась в сентябре, а закончилась 25 ноября.

Эксперты Anomali, изучив три злонамеренных документа, также вычислили (PDF), что один из них предназначался для Министерства иностранных дел Украины, второй — для Detector Media, а последний — для АСУ ТП в Днепре.

Рассылаемые в виде вложения документы подключались к удалённому серверу для загрузки шаблона (.dot), содержащего VBA-макросы. Файл .dot выполнялся в фоновом режиме, а VBA-макрос записывал файл в формате VBScript в папку автозагрузки.

После перезагрузки скрипт VBScript отправлял HTTP-запрос GET для получения определённого пейлоада. К сожалению, исследователям не удалось изучить загружаемый пейлоад, представляющий собой вторую ступень атаки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.