Украинцам рассказали о массовой рассылке хакерами опасных электронных писем от скомпрометированного аккаунта в учебные заведения (преимущественно - в одной из областей) и органы государственной власти.

Об этом сообщает РБК-Украина со ссылкой на пресс-службу Государственной службы специальной связи и защиты информации Украины.

Согласно информации Госспецсвязи, в первой декаде ноября хакеры атаковали:

• учебные заведения (преимущественно Сумской области);
• органы государственной власти.

Уточняется, что факты распространения опасных электронных писем с темой "Наказ №332" обнаружили специалисты национальной команды реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA.

Речь идет о "массовой рассылке опасных электронных писем со скомпрометированного аккаунта".

Пример цепи поражения (иллюстрация: cert.gov.ua)

Эксперты рассказали, что письма от хакеров содержат ссылку на Google Drive для загрузки ZIP-архива "Наказ_№332_07.11.2025_Концепція_положення.zip" и пароль к нему.

"Загрузка которого в конечном итоге приводит к поражению устройств несколькими вредоносными программами ", - объяснили украинцам.

В Госспецсвязи добавили, что речь идет про:

• LAZAGNE - для похищения сохраненных паролей;
• .NET-программу - для похищения и передачи злоумышленникам файлов с определенными типами расширений;
• бэкдор GAMYBEAR - дает возможность собирать информацию об устройстве и удаленно управлять компьютером.

Исследование инфицированного компьютера (иллюстрация: cert.gov.ua)

Специалисты установили, что опасные письма рассылались со скомпрометированной учетной записи почтового сервиса Gmail (который использовался в одном из высших учебных заведений упомянутого региона).

При этом исследование показало, что первичное заражение произошло еще 26 мая 2025 года - когда владелец аккаунта открыл вредоносное письмо, присланное якобы от Управления ГСЧС в Сумской области.

С тех пор злоумышленники:

• имели длительный удаленный доступ к системам учебного заведения;
• могли использовать его инфраструктуру для новых кибератак.

Пример электронного письма от 26.05.2025 года (иллюстрация: cert.gov.ua)

В завершение в CERT-UA отметили, что причиной таких инцидентов становится систематическое игнорирование базовых мер киберзащиты :

• невыполнение рекомендаций по настройке защиты Windows;
• отсутствие двухфакторной аутентификации;
• запуск опасных файлов и т.п.

Кроме того, часто нарушаются требования об обязательном информировании CERT-UA о выявленных фактах киберинцидентов , кибератак и киберугроз в информационно-коммуникационных системах (ИКС) организаций Украины.

"Это негативно влияет на возможность принятия неотложных мер реагирования и способствует беспрепятственному пребыванию злоумышленников в ИКС жертв длительное время с последующими негативными последствиями", - подытожили специалисты.

Напомним, ранее украинцев предупредили об опасных случаях вымогательства денег от якобы имени Министерства внутренних дел.

Речь идет о мошеннической схеме, которая блокирует компьютер человека и заставляет его оплатить фейковый штраф.

Другая мошенническая схема - с фейковыми SMS - дает злоумышленникам полный доступ к телефону неосторожного пользователя.

Читайте также, как мошенники научились воровать данные и деньги через QR-коды.