Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA, действующая при Госспецсвязи, зафиксировала новую волну кибератак на государственные учреждения. Злоумышленники UAC-0057 рассылают опасные письма, маскируя их под сообщения об успешном завершении курсов на популярной онлайн-платформе для обучения Prometheus, чтобы скрыто установить вредоносное программное обеспечение.
По данным специалистов, атаки начались весной 2026 года. Для рассылки фишинга хакеры часто используют скомпрометированные учетные записи украинских предприятий и организаций.
Злоумышленники посылают электронное письмо с темой о сгенерированном сертификате, например, с поддельного адреса certificates@prometheus.com.ua.
К письму прилагается PDF-документ, имитирующий сообщения от платформы. Внутри PDF-файла содержится ссылка (часто ведет на домены в зоне .icu), нажатие на которую загружает на компьютер жертвы ZIP-архив. Этот архив содержит опасный JavaScript-файл, запуск которого начинает процесс инфицирования системы.
Специалисты отмечают, что на финальном этапе атаки на компьютер жертвы может быть загружен компонент фреймворка Cobalt Strike, предоставляющий хакерам возможность удаленного управления устройством. Саму инфраструктуру управления злоумышленники традиционно хоронят за сервисами Cloudflare.
CERT-UA настоятельно рекомендует системным администраторам и специалистам по кибербезопасности применить базовые подходы к уменьшению поверхности атаки. Самый главный шаг для нейтрализации этой угрозы – ограничить возможность запуска w.exe для аккаунтов обычных пользователей.
Также Госспецсвязи призывает работников быть бдительными, проверять фактический адрес отправителя писем и не переходить по сомнительным ссылкам даже во вложенных документах.
Государственная служба специальной связи и защиты информации Украины
