Урядова команда реагування на комп'ютерні надзвичайні події (CERT-UA), що діє у складі Держслужби спецзв'язку та захисту інформації, повідомляє про розсилку в українські державні органи листів зі шкідливим файлом, яку пов'язують з діяльністю угруповання UAC-0010 (Armageddon)

Зазначається, що темою таких листів зазначено "Інформацію про військових злочинців РФ", а в листі міститься HTML-файл "Військові злочинці РФ.htm", відкриття якого призводить до створення на комп'ютері RAR-архіву "Viyskovi_zlochinci_RU.rar".

У ньому, у свою чергу, міститься файл-ярлик "Військові-злочинці, що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних мережах).lnk", відкриття якого призводить до завантаження HTA-файлу, що містить код мовою VBScript, який забезпечує завантаження та запуск powershell-скрипта "get.php" (GammaLoad.PS1).

"Завданням останнього є визначення унікального ідентифікатора комп'ютера (на основі імені комп'ютера та серійного номера системного диска), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду", - повідомили в CERT-UA, не уточнюючи, в чому саме полягає дія програми, що запускається таким чином.

У Держспецзв'язку також звертають увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, "адже наразі рівень їх детектування низький".