Що сталося. Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA від суб'єкта координації отримала інформацію щодо розповсюдження електронних поштових повідомлень із вкладенням у вигляді RAR-архіву «порти АРК.rar», начебто, від імені ДП «Адміністрація морських портів України».
Джерело. Про це повідомила пресслужба Держспецзв'язку.
Деталі. Згаданий RAR-архів містить шкідливі DOCX-документи «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx» і «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx». Кожен із них, своєю чергою, містить вбудовану URL-адресу.
Зазначається, що у разі відкриття документів завантажиться і відкриється DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп'ютера шкідливою програмою GammaLoad.
Атаку асоційовано з діяльністю групи Armageddon (відслідковується CERT-UA за ідентифікатором UAC-0010).
Бекграунд. Нагадаємо, що 15 січня Центр стратегічних комунікацій заявив, що атака на сайти українських держустанов вночі 14 січня 2022 року здійснювалася з Росії. У Держспецзв'язку заявили, що дані деяких держсайтів знищили під час кібератаки.
Крім того, на офіційний сайт України Ukraine.ua у ніч на 26 січня здійснили кібератаку.