Хакери розіслали небезпечні листи навчальним закладам: як працювала схема атаки

Українцям розповіли про масове розсилання хакерами небезпечних електронних листів зі скомпрометованого акаунту до навчальних закладів (переважно - в одній з областей) та органів державної влади.

Про це повідомляє РБК-Україна із посиланням на прес-службу Державної служби спеціального зв'язку та захисту інформації України.

Про які небезпечні листи йдеться

Згідно з інформацією Держспецзв'язку, у першій декаді листопада хакери атакували:

• навчальні заклади (переважно Сумської області);
• органи державної влади.

Уточнюється, що факти розповсюдження небезпечних електронних листів з темою "Наказ №332" виявили фахівці національної команди реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA.

Йдеться про "масове розсилання небезпечних електронних листів зі скомпрометованого акаунту".

Як працювала схема хакерів

Експерти розповіли, що листи від хакерів містять посилання на Google Drive для завантаження ZIP-архіву "Наказ_№332_07.11.2025_Концепція_положення.zip" та пароль до нього.

"Завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами", - пояснили українцям.

У Держспецзв'язку додали, що йдеться про:

• LAZAGNE - для викрадення збережених паролів;
• .NET-програму - для викрадення та передавання зловмисникам файлів із певними типами розширень;
• бекдор GAMYBEAR - дає можливість збирати інформацію про пристрій та віддалено керувати комп'ютером.

З якої пошти розсилались такі листи

Фахівці встановили, що небезпечні листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail (який використовувався в одному з вищих навчальних закладів згаданого регіону).

При цьому дослідження показало, що первинне зараження сталося ще 26 травня 2025 року - коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області.

Відтоді зловмисники:

• мали тривалий віддалений доступ до систем навчального закладу;
• могли використовувати його інфраструктуру для нових кібератак.

Основні причини подібних інцидентів

Насамкінець у CERT-UA наголосили, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту:

• невиконання рекомендацій щодо налаштування захисту Windows;
• відсутність двофакторної автентифікації;
• запуск небезпечних файлів тощо.

Крім того, часто порушуються вимоги щодо обов'язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в інформаційно-комунікаційних системах (ІКС) організацій України.

"Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками", - підсумували фахівці.