Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA протягом квітня 2023 року зафіксовано випадки розповсюдження серед державних органів України електронних листів з темою "Оновлення Windows", надісланих, начебто, від імені системних адміністраторів відомств. При цьому електронні адреси відправників, створені на публічному сервісі "@outlook.com", можуть формуватися з використанням справжнього прізвища та ініціалів співробітника.

Типовий лист містить "інструкцію" українською мовою щодо "оновлення для захисту від хакерських атак", а також графічні зображення процесу запуску командного рядка та виконання PowerShell-команди.

Згадана команда завантажить PowerShell-сценарій, який, імітуючи процес оновлення операційної системи, забезпечить завантаження й виконання наступного PowerShell-сценарію, призначеного для збору базової інформації про ЕОМ за допомогою команд "tasklist", "systeminfo", а також відправку отриманих результатів за допомогою HTTP запиту до API сервісу Mocky.

Рекомендуємо обмежити можливість запуску PowerShell користувачами та забезпечити моніторинг мережевих з'єднань до API сервісу Mocky. Повідомляється, що активність здійснює група APT28.