Украинская команда реагирования на компьютерные чрезвычайные события CERT-UA (ЦЕРТ Украины) сообщила о новой кибератаке, в рамках которой злоумышленники распространяют вредоносное программное обеспечение под видом обновления приложения BACHU для управления беспилотниками. По данным специалистов, файл с зараженным ПО распространялся через мессенджер Signal в виде архива с названием bachu.zip.
В CERT-UA уточнили, что внутри архива находились исполняемый файл и библиотека, использование которой запускало вредоносный код с применением механизма DLL side-loading. В результате на устройства загружался инструмент AGINGFLY, обеспечивающий закрепление злоумышленников в системе и дальнейшее управление зараженным компьютером.
Отмечается, что атаки направлены не только на операторов дронов, но и на органы местного самоуправления и медицинские учреждения. Первичный доступ, как правило, осуществляется через электронные письма под видом предложений гуманитарной помощи, где пользователей убеждают перейти по вредоносной ссылке. После этого на устройство загружается архив с файлами, запускающими цепочку заражения, включая загрузку дополнительных модулей и внедрение кода в легитимные процессы.
Специалисты зафиксировали использование многоступенчатых загрузчиков, шифрования и инструментов удаленного управления, включая решения для установления зашифрованного соединения с командными серверами. В ходе атак злоумышленники похищают данные из браузеров и мессенджеров, проводят разведку внутри сети и могут использовать сторонние инструменты для сканирования и скрытого подключения, а также устанавливать майнеры.
В CERT-UA подчеркнули, что подобные атаки могут затрагивать представителей «сил обороны Украины». Для снижения рисков рекомендуется ограничивать запуск потенциально опасных файлов и системных утилит, а также использовать встроенные механизмы защиты операционных систем.
Ранее российский хакер заявил о получении контроля над базами данных Харьковской области.
