Хакеры разослали опасные письма учебным заведениям: как работала схема атаки

О каких опасных письмах идет речь

Согласно информации Госспецсвязи, в первой декаде ноября хакеры атаковали:

• учебные заведения (преимущественно Сумской области);
• органы государственной власти.

Уточняется, что факты распространения опасных электронных писем с темой "Наказ №332" обнаружили специалисты национальной команды реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA.

Речь идет о "массовой рассылке опасных электронных писем со скомпрометированного аккаунта".

Пример цепи поражения (иллюстрация: cert.gov.ua)

Как работала схема хакеров

Эксперты рассказали, что письма от хакеров содержат ссылку на Google Drive для загрузки ZIP-архива "Наказ_№332_07.11.2025_Концепція_положення.zip" и пароль к нему.

"Загрузка которого в конечном итоге приводит к поражению устройств несколькими вредоносными программами", - объяснили украинцам.

В Госспецсвязи добавили, что речь идет про:

• LAZAGNE - для похищения сохраненных паролей;
• .NET-программу - для похищения и передачи злоумышленникам файлов с определенными типами расширений;
• бэкдор GAMYBEAR - дает возможность собирать информацию об устройстве и удаленно управлять компьютером.

Исследование инфицированного компьютера (иллюстрация: cert.gov.ua)

С какой почты рассылались такие письма

Специалисты установили, что опасные письма рассылались со скомпрометированной учетной записи почтового сервиса Gmail (который использовался в одном из высших учебных заведений упомянутого региона).

При этом исследование показало, что первичное заражение произошло еще 26 мая 2025 года - когда владелец аккаунта открыл вредоносное письмо, присланное якобы от Управления ГСЧС в Сумской области.

С тех пор злоумышленники:

• имели длительный удаленный доступ к системам учебного заведения;
• могли использовать его инфраструктуру для новых кибератак.

Пример электронного письма от 26.05.2025 года (иллюстрация: cert.gov.ua)

Основные причины подобных инцидентов

В завершение в CERT-UA отметили, что причиной таких инцидентов становится систематическое игнорирование базовых мер киберзащиты:

• невыполнение рекомендаций по настройке защиты Windows;
• отсутствие двухфакторной аутентификации;
• запуск опасных файлов и т.п.

Кроме того, часто нарушаются требования об обязательном информировании CERT-UA о выявленных фактах киберинцидентов, кибератак и киберугроз в информационно-коммуникационных системах (ИКС) организаций Украины.

"Это негативно влияет на возможность принятия неотложных мер реагирования и способствует беспрепятственному пребыванию злоумышленников в ИКС жертв длительное время с последующими негативными последствиями", - подытожили специалисты.