Масове розсилання небезпечних електронних листів зі скомпрометованого акаунту: хакери атакують навчальні заклади на Сумщині та органи влади

Як повідомляє Державна служба спеціального зв`язку та захисту інформації України, у першій декаді листопада фахівці національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявили факти розповсюдження небезпечних електронних листів з темою «Наказ № 332» серед навчальних закладів (переважно Сумської області) та органів державної влади. 

Листи містять посилання на Google Drive із ZIP-архівом, завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами, а саме:

•  LAZAGNE (для викрадення збережених паролів);

•  NET-програма (для викрадення та передавання зловмисникам файлів з певними типами розширень);

•  бекдор GAMYBEAR (дає можливість збирати інформацію про пристрій та віддалено керувати комп’ютером).

Фахівці встановили, що листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail, який використовувався в одному з вищих навчальних закладів згаданого регіону.  Дослідження показало, що первинне зараження сталося ще 26 травня 2025 року, коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області. Відтоді зловмисники мали тривалий віддалений доступ до систем навчального закладу й могли використовувати його інфраструктуру для нових кібератак.

У CERT-UA наголошують, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту – невиконання рекомендацій щодо налаштування захисту Windows, відсутність двофакторної автентифікації, запуск небезпечних файлів тощо.

Також часто порушуються вимоги щодо обов’язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в ІКС організацій України. Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками. 

Більше деталей щодо кібератаки – на сайті CERT-UA за посиланням https://cert.gov.ua/article/6286219