Кібератака у відношенні навчального закладу на сході України з використанням програмного засобу GAMYBEAR (CERT-UA#18329)
Загальна інформація
Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA у першій декаді листопада 2025 року виявлено факт розповсюдження електронних листів з темою "Наказ № 332" серед навчальних закладів та органів державної влади (переважно, Сумської області) з використанням скомпрометованого облікового запису поштового сервісу Gmail, який належав одному з вищих навчальних закладів згаданого регіону (всупереч численним рекомендаціям 2FA налаштовано не було).
Зазначений лист містив посилання на Google Drive для завантаження ZIP-архіву "Наказ_№332_07.11.2025_Концепція_положення.zip" та пароль до останнього. В архіві знаходився файл-ярлик, під час відкриття якого за допомогою mshta.exe (штатна утиліта, рекомендації щодо обмеження запуску якої були сформовані більше двох років назад) буде завантажено та виконано HTA-файл "zvit.hta" (на необхідності недопущення запуску файлів такого формату було також неодноразово наголошено).
Згаданий HTA-файл забезпечить завантаження та запуск файлу "update.js", який, у свою чергу, за допомогою PowerShell завантажить та виконає сценарій "updater.ps1". Зауважимо, що обмеження запуску файлів з розширеннями ".js", відключення Windows Script Host, блокування запуску PowerShell (та обмеження можливості встановлення ним мережевих з'єднань за допомогою штатного мережевого екрану) для облікових записів користувачів регулярно підкреслюється як невід'ємні заходи для скорочення поверхні атаки.
Насамкінець PowerShell-сценарій завантажить на комп'ютер та здійснить запуск програмного засобу LAZAGNE (отримання збережених на ПЕОМ паролів), .NET-програми, створеної за допомогою PS2EXE, яка містить PowerShell-скрипт для викрадення та ексфільтрації з використанням HTTP файлів у певних каталогах за визначеним переліком розширень, а також програмний засіб, класифікований CERT-UA як бекдор GAMYBEAR.
Під час ретельного вивчення обставин інцидент було встановлено, що первинна компрометація програмного засобу в навчальному закладі, з облікового запису якого здійснено розсилку в листопаді, мала місце 26 травня 2025 року в результаті отримання користувачем листа, нібито, від Управління ДСНС у Сумській області. Таким чином, у період з травня по листопад 2025 року було створено технічну можливість для несанкціонованого віддаленого доступу до ПЕОМ та пов'язаних сервісів, інформаційно-комунікаційної системи навчального закладу, а також використання ресурсів організації для здійснення кібератак у відношенні інших об'єктів кіберзахисту.
В контексті зазначеного кіберінциденту звертаємо увагу на постійні проблемні організаційні та технічні питання кіберзахисту. Систематичне нехтування відповідальними особами і керівниками організацій України елементарними заходами кіберзахисту (в першу чергу, на рівні рекомендованих налаштувань для штатних механізмів захисту ПЕОМ під управлінням ОС Windows) створює ризики для реалізації кіберзагроз на інші організації (на регіональному, галузевому або загальнодрежавному рівнях). Крім того, систематично виявляються порушення вимог законодавства України щодо інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в ІКС організацій України, що негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками.
Принагідно, наполягаємо ознайомитись з матеріалами публікації та невідкладно врахувати в роботі надані рекомендації: https://cert.gov.ua/article/5436463
