Зловмисники розгорнули атаку, використавши емблему Національного університету оборони України
Зловмисники розгорнули атаку, використавши емблему Національного університету оборони України
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA виявила та дослідила факт кібератаки групи UAC-0057 (GhostWriter) на одну із державних організацій України 
https://cert.gov.ua/article/4905718
Спеціалісти CERT-UA виявили PPT-документ «daewdfq342r.ppt», що містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняховського.
У випадку відкриття документу та активації макросу на комп'ютері жертви буде створений виконуваний файл, а також файл-ярлик, призначений для запуску останнього. Цей файл класифіковано як шкідливу програму PicassoLoader, що типово використовується групою UAC-0057 (GhostWriter). Програма призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду.
У розглянутому інциденті PicassoLoader забезпечить завантаження і запуск .NET-дроперу, що здійснить дешифрування та запуск виконуваного файлу «PhotoMetadataHandler.dll». Останній, своєю чергою, виконає дешифрування та запуск шкідливої програми Cobalt Strike Beacon на комп'ютері жертви.
У CERT-UA також зауважують: дати компіляції програм та створення (модифікації) PPT-документу свідчать про те, що атаку було ініційовано не пізніше 9 червня 2023 року. Сервери управління шкідливою програмою розміщені в рф, проте доменні імена «сховані» за Cloudflare.
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності та вживати невідкладних заходів зі зменшення «поверхні» атаки. Більш детальна інформація щодо невідкладних заходів кіберзахисту доступна за посиланням
https://cert.gov.ua/article/1751036
