Вчорашній день став початком нової масованої атаки російського угруповання APT28 на українські державні інформаційні ресурси. Цього разу хакери відмовилися від традиційних методів і застосували новий завантажувач під назвою BadPaw. Атака починається з фішингового листа, темою якого є «Терміновий звіт про безпеку критичної інфраструктури». Усередині знаходиться ZIP-архів, який при розпакуванні запускає шкідливий скрипт, що завантажує основний модуль прямо в оперативну пам’ять комп’ютера. Це робить атаку «безфайловою», що значно ускладнює її виявлення стандартними антивірусними засобами.

Другий етап атаки — розгортання бекдора MeowMeow, який використовує унікальну техніку стеганографії для зв’язку з командним сервером. Шкідливе ПЗ не надсилає текстові команди, а завантажує звичайні зображення із публічних хмарних сервісів. У пікселях цих зображень зашифровано команди для хакера та вкрадені дані. Такий метод дозволяє зловмисникам маскувати свій трафік під звичайний веб-серфінг користувачів, обходячи системи глибокого аналізу пакетів. Держспецзв’язку вчора ввечері вже випустило термінові рекомендації щодо блокування специфічних доменів, які використовуються в цій кампанії.