Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA у взаємодії із Центром кібербезпеки Збройних Сил України виявила та дослідила активність угруповання UAC-0020 (Vermin), спрямовану проти Сил оборони України. Нагадаємо, що діяльність угруповання Vermin ведеться співробітниками силових відомств тимчасово окупованого Луганська. Остання активність зловмисників була зафіксовано у березні 2022 року.

Цього разу вони використовували шкідливе програмне забезпечення SPECTR для викрадення документів, файлів, паролів та іншої інформації. Також використовувався штатний функціонал синхронізації легітимного програмного забезпечення SyncThing.

Жертвам надсилався електронний лист з вкладенням у вигляді архіву «туррель.фоп.вовчок.rar», захищеного паролем. В архіві знаходився RARSFX-архів «туррель.фоп.вовчок.sfx.rar.scr», що містив файл-приманку «Wowchok.pdf», ЕХЕ-інсталятор «sync.exe» та BAT-файл «run_user.bat».

У свою чергу файл «sync.exe» містить як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR, в тому числі допоміжні бібліотеки та скрипти. 

Викрадена за допомогою шкідливих програм SPECTR інформація виводилася на комп'ютер зловмисника за допомогою штатного функціоналу синхронізації легітимної програми SyncThing. Активність цього угруповання відстежується CERT-UA за ідентифікатором UAC-0020. 

З метою мінімізації загроз CERT-UA радить​​ відповідальним за кіберзахист інформаційно-комунікаційних систем ЗСУ невідкладно звернутися до Центру кібербезпеки ЗСУ (email: csoc@post.mil.gov.ua, Signal: +380673321891) з метою отримання та подальшого встановлення на всі без винятку комп'ютери відповідних технологій захисту.