У першому півріччі 2025 року фахівці Національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA зафіксували в атаках проти України низку нових активностей.
Як зазначено в аналітичному звіті «російські кібероперації» за перше півріччя 2025 року, кардинальна зміна тактик, технік та процедур, залучення до атак «свіжої крові» свідчать про зниження ефективності уже відомих методів внаслідок нашої ефективної протидії. Далі більш детальна інформація про кілька угруповань.
UAC-0219
Група UAC-0219 використовує WRECKSTEEL – програмний засіб реалізації кіберзагрози, який забезпечує викрадення даних за заздалегідь заданим переліком розширень та створення знімків екрану, які потім вивантажуються на сервер зловмисників. Є підстави вважати, що для генерації PowerShell-скриптів зловмисники використовують штучний інтелект. Діяльність цього угруповання вперше зафіксована CERT-UA у першому півріччі 2025 року, хоча виявлено ознаки, що свідчать про активність цього кластера загроз ще з осені 2024 року.
UAC-0218
Перші кампанії UAC-0218 були помічені ще у 2024 році, проте особливо активним цей кластер став на початку 2025 року. Листи, асоційовані з цією активністю, містять посилання на архів, розміщений на сервісі для зберігання E-Disk, що належить UKR.NET. Зазвичай в архіві містяться захищені паролем документи Microsoft Office та VBE-скрипт (закодований VBS-скрипт), який є шкідливою програмою HOMESTEEL, що викрадає файли.
UAC-0226
Ці хакери атакують за допомогою листів з небезпечним вкладенням. Від лютого 2025 року такі розсилання отримували працівники організацій, що мають стосунок до розвитку інновацій у сфері ОПК, органів місцевого самоврядування, військових формувань, правоохоронних органів тощо.
В атаках хакери використовують два види шкідливих програм: Reverse-shell та GIFTEDCROOK – стілер, який забезпечує викрадення даних з веббраузера (історія, збережені автентифікаційні дані, cookie тощо) та вивантаження їх до підконтрольного хакерам Telegram-чату.
UAC-0227
Щонайменше з березня 2025 року CERT-UA відстежує активність, метою якої є шпигунство за органами місцевого самоврядування, обʼєктами критичної інфраструктури, ТЦК та СП тощо.
Для реалізації загрози зловмисники розсилають листи з різним вмістом. Спробувавши різні підходи до доставки ШПЗ, хакери зупинились на розповсюдженні SVG-файлу, що є векторним зображенням, яке за замовчуванням відкривається у веббраузері.
Під час аналізу ранніх кампаній UAC-0227 виявлено файли, датовані кінцем 2023 року, які свідчать про таку саму активність щодо країн Європейського Союзу.
