Масове розсилання небезпечних електронних листів зі скомпрометованого акаунту: хакери атакують навчальні заклади та органи влади

Листи містять посилання на Google Drive із ZIP-архівом, завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами, а саме:

▪️LAZAGNE (для викрадення збережених паролів);
▪️.NET-програма (для викрадення та передавання зловмисникам файлів з певними типами розширень);
▪️бекдор GAMYBEAR (дає можливість збирати інформацію про пристрій та віддалено керувати комп’ютером).

Фахівці встановили, що листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail, який використовувався в одному з вищих навчальних закладів згаданого регіону. Дослідження показало, що первинне зараження сталося ще 26 травня 2025 року, коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області. Відтоді зловмисники мали тривалий віддалений доступ до систем навчального закладу й могли використовувати його інфраструктуру для нових кібератак.

У CERT-UA наголошують, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту – невиконання рекомендацій щодо налаштування захисту Windows, відсутність двофакторної автентифікації, запуск небезпечних файлів тощо.

Також часто порушуються вимоги щодо обов’язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в ІКС організацій України. Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками. Більше деталей щодо кібератаки – на сайті CERT-UA за посиланням.

За інформацією Держспецзв'язку