У першій декаді листопада 2025 року команда CERT-UA виявила розповсюдження шкідливих електронних листів серед освітніх установ та державних органів на сході України. Листи, що мали тему "Наказ № 332", надсилалися з використанням скомпрометованого облікового запису Gmail, який належав одному з вищих навчальних закладів регіону. Це свідчить про цілеспрямований характер атаки, спрямованої на компрометацію ключових установ.
Атака, що отримала ідентифікатор UAC-0241, використовує багатоетапний підхід для досягнення своїх цілей. Початкове розповсюдження здійснюється через фішингові електронні листи. Після успішного компрометації, зловмисники розгортають шкідливе програмне забезпечення GAMYBEAR. Детальний аналіз функціоналу GAMYBEAR триває, але попередні дані вказують на його здатність до крадіжки інформації та подальшого поширення загроз у мережі жертви.
Основною мішенню кіберзлочинців є навчальні заклади, зокрема вищі навчальні заклади, а також органи державної влади, розташовані на сході України. Однак, враховуючи природу подібних атак, потенційній загрозі можуть бути піддані й інші організації, що мають схожі вектори атаки або обробляють чутливу інформацію. Не виключається можливість розширення географії атаки.
Для мінімізації ризиків CERT-UA рекомендує вжити наступних заходів:
- Посилити пильність співробітників щодо підозрілих електронних листів, особливо тих, що містять несподівані вкладення або посилання.
- Перевіряти автентичність відправника та зміст отриманих повідомлень перед виконанням будь-яких дій.
- Регулярно оновлювати програмне забезпечення та антивірусні бази на всіх пристроях.
- Впровадити двофакторну автентифікацію для всіх облікових записів, особливо для корпоративної електронної пошти.
- Проводити тренінги з кібербезпеки для персоналу, щоб підвищити обізнаність щодо актуальних загроз.