Хакери атакують українські держустанови фейковими сертифікатами Prometheus

Олександр Кузьменко Таке життя 22 травня 2026, 17:07 2026-05-22 Хакери атакують українські держустанови фейковими сертифікатами Prometheus

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нову хвилю кібератак на державні установи країни. Зловмисники маскують шкідливі листи під повідомлення про успішне завершення курсів на популярній освітній платформі Prometheus, намагаючись приховано встановити на комп’ютери жертв шкідливий софт.

Залишити коментар

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нову хвилю кібератак на державні установи країни. Зловмисники маскують шкідливі листи під повідомлення про успішне завершення курсів на популярній освітній платформі Prometheus, намагаючись приховано встановити на комп’ютери жертв шкідливий софт.

Про це повідомили в Державній службі спеціального зв’язку й захисту інформації України.

Для розсилки фішингових листів хакери з угруповання UAC-0057 використовують уже скомпрометовані облікові записи українських підприємств та організацій. Повідомлення надходять із темою про нібито згенерований сертифікат про навчання.

До листа додається PDF-документ, який імітує сповіщення від платформи Prometheus. Усередині файлу розміщено посилання, натискання на яке завантажує на комп’ютер ZIP-архів, в якому міститься небезпечний JavaScript-файл. Його запуск розпочинає процес інфікування системи.

Фахівці класифікували цей JS-файл як OYSTERFRESH. Його завдання — відобразити документ-приманку та записати в реєстр ОС закодоване шкідливе ПЗ OYSTERBLUES, яке збирає інформацію про комп’ютер (ім’я користувача, версію ОС, запущені процеси тощо) та відправляє її на сервер управління. На фінальному етапі атаки зловмисники можуть завантажити на пристрій компонент фреймворку Cobalt Strike, що дає їм можливість повністю контролювати систему.

За даними спеціалістів, інфраструктура зловмисників прихована за Cloudflare, а більшість доменних імен зареєстрована в зоні .icu. Для захисту від цієї загрози CERT-UA рекомендує системним адміністраторам обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.

Угруповання UAC-0057 (також відоме як UNC1151) є давнім супротивником українських кіберфахівців. Його пов’язують зі спецслужбами Білорусі, які діють у тісній координації з військовою розвідкою росії. Раніше група неодноразово здійснювала шпигунські атаки на український державний та приватний сектори, використовуючи методи соціальної інженерії.

Читайте головні IT-новини країни в нашому Telegram По темi Читайте головні IT-новини країни в нашому Telegram

Освітня платформа Prometheus запускає в Польщі та Німеччині програми навчання з подальшим працевлаштуванням По темi Освітня платформа Prometheus запускає в Польщі та Німеччині програми навчання з подальшим працевлаштуванням

Кіберексперти з CERT-UA попередили, що зловмисники використовують ім’я їхнього підрозділу, щоб отримати доступ до комп’ютерів через програму AnyDesk По темi Кіберексперти з CERT-UA попередили, що зловмисники використовують ім’я їхнього підрозділу, щоб отримати доступ до комп’ютерів через програму AnyDesk

Хакери зламали GitHub через розширення VS Code та виставили вихідний код на продаж По темi Хакери зламали GitHub через розширення VS Code та виставили вихідний код на продаж

Залишити коментар Текст: Олександр Кузьменко Фото: Industrial Cyber Теги: prometheus, україна, cert-ua, держспецзвʼязку, хакери, кібербезпека Знайшли помилку в тексті – виділіть її та натисніть Ctrl+Enter. Знайшли помилку в тексті – виділіть її та натисніть кнопку «Повідомити про помилку».