Інформаційний фронт залишається однією з головних цілей ворога. Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нову хвилю цілеспрямованих кібератак на українські медіаорганізації. Під прицілом опинилися понад 500 отримувачів — від редакцій газет до регіональних радіостанцій.

Анатомія атаки: як працює CrescentImp

Цього разу хакери використовують витончену схему, що базується на експлойті Follina (відомому як вразливість у Microsoft Support Diagnostic Tool). Процес зараження виглядає наступним чином:

  1. Фішинговий лист: Жертва отримує лист із темою «СПИСОК посилань на інтерактивні карти».
  2. Шкідливе вкладення: До листа додано файл у форматі .DOCX із аналогічною назвою.
  3. Активація JavaScript: Під час відкриття документа автоматично виконується JavaScript-код.
  4. Корисне навантаження: Система завантажує файл «2.txt», який насправді є шкідливим програмним забезпеченням CrescentImp.

Особлива небезпека полягає в тому, що на момент виявлення хеш-суми цього вірусу мали нульовий рівень детектування на платформі VirusTotal. Це означає, що традиційні антивірусні рішення часто виявляються безсилими проти таких «свіжих» загроз.

Як «Спецбайт» допомагає протистояти невидимим загрозам

Ситуація з експлойтом Follina вкотре доводить: пасивного захисту недостатньо. Команда «Спецбайт» впроваджує рішення, які здатні виявляти аномалії навіть тоді, коли конкретний вірус ще не внесений до баз даних.

Наші методи протидії подібним атакам:

  • Впровадження XDR-платформ: Використання рішень класу Trend Micro Vision One дозволяє виявляти складні ланцюжки атак (ланцюг: пошта -> документ -> JS-скрипт) на ранніх етапах.
  • Захист кінцевих точок: Рішення Cisco Secure Endpoint, що пройшли державну експертизу за рівнем довіри Г2, забезпечують поведінковий аналіз процесів, блокуючи підозрілу активність скриптів у Word.
  • Побудова КСЗІ: Ми створюємо комплексну систему захисту інформації, яка мінімізує ризики людського фактора через суворе розмежування прав доступу та контроль мережевого трафіку.

Ми рекомендуємо співробітникам медіа бути максимально пильними з вкладеннями від неперевірених адресатів. Пам’ятайте, що ваша безпека — це не лише антивірус, а й правильно спроектована інфраструктура ТЗІ, яку забезпечує S-byte.