CERT-UA повідомляє про активізацію групи UAC-0239, яка з середини вересня 2025 року проводить цілеспрямовані кібератаки проти українських оборонних структур та місцевих органів влади. Атаки маскуються під ініціативи з протидії російським диверсійно-розвідувальним групам (ДРГ), а зловмисники видають себе за представників Служби безпеки України. Метою таких дій є отримання доступу до конфіденційної інформації та потенційне порушення функціонування критично важливих систем.
У ході проведених атак група UAC-0239 використовує два ключові інструменти: фреймворк OrcaC2 та стілер FILEMESS. Фреймворк OrcaC2 дозволяє зловмисникам встановлювати віддалений контроль над скомпрометованими системами, виконувати команди, викрадати дані та поширювати шкідливе програмне забезпечення. Стілер FILEMESS призначений для пошуку, викрадення та передачі файлів з комп'ютерів жертв, що може включати конфіденційну інформацію, облікові дані або інші чутливі дані.
Основними цілями атак групи UAC-0239 є:
- Сили оборони України: військові підрозділи, штаби та інші структури, що мають відношення до безпеки держави.
- Органи місцевого самоврядування: міські, районні та обласні адміністрації, які можуть володіти інформацією про критичну інфраструктуру або місцеві оборонні плани.
- Інші державні установи: потенційно можуть бути атаковані, якщо їх діяльність пов'язана з безпекою або обороною.
Для мінімізації ризиків кібератак, CERT-UA рекомендує вжити наступних заходів:
- Підвищення обізнаності персоналу: проведення тренінгів щодо розпізнавання фішингових листів та підозрілих повідомлень, особливо тих, що стосуються безпеки або вимагають термінових дій.
- Посилення заходів безпеки електронної пошти: впровадження спам-фільтрів, антивірусного програмного забезпечення та механізмів автентифікації електронної пошти (SPF, DKIM, DMARC).
- Регулярне оновлення програмного забезпечення: своєчасне встановлення оновлень для операційних систем, антивірусів та інших програмних продуктів для усунення відомих вразливостей.
- Обмеження прав доступу: застосування принципу найменших привілеїв для користувачів та систем, щоб обмежити потенційну шкоду у разі компрометації.
- Моніторинг мережевої активності: впровадження систем виявлення вторгнень (IDS/IPS) та регулярний аналіз журналів подій для виявлення підозрілої активності.