У вівторок, 20 січня, була виявлена та попереджена спроба здійснення цільової кібератаки у відношенні співробітників Кропивницької міської ради.

Невідомою особою ("Максим Олександрович") за допомогою WhatsApp з номеру телефону українського оператора мобільного зв'язку здійснено дзвінок на особистий номер співробітника, проведено комунікацію щирою українською мовою з демонстрацію глибокого знання контексту, після чого у згаданий мессенджер відправлено XLS-документ, за темою запланованої зустрічі.

Відправлений документ містив макрос, завданням якого є створення та запуск на комп'ютері шкідливого програмного забезпечення.

Фахівці Кропивницької міської ради у взаємодії зі співробітниками Сектору з кіберзахисту Управління Держспецзв'язку в Кіровоградській області спрацювали оперативно і не допустили  заплановану реалізацію загрози. За задумом зловмисників, успішне інфікування комп'ютера мало створити передумови для прихованого віддаленого доступу, викрадення документів та можливого розвитку кібератаки на локальну мережу Кропивницької міської ради.

Відповідно до інформації, отриманої від колег з CERT-UA, кібератаку здійснено угрупуванням UAC-0001 (також відомим як APT28) із застосуванням програмного засобу COVENANT, який в якості каналу управління використовує легітимну інфраструктуру Dropbox.

Звертаємо увагу громад області на описані методи атаки та закликаємо вживати системних заходів кіберзахисту. Зокрема, здійснити інтеграцію граничних мережевих засобів з системою реагування на кіберінциденти, кібератаки, кіберзагрози, що розробляється та впроваджується Держспецзв'язку, а також скоротити поверхню атаки шляхом застосування рекомендованих політик, в тому числі на базі штатних механізмів захисту операційних систем SRP / AppLocker.