Правительственная команда реагирования на чрезвычайные события Украины CERT-UA получила уведомление о рассылке государственным органам электронных писем с темой «снабжение».
В приложении к ним содержался защищенный паролем архив «ДВТПРОВТ.rar» с файлом-ярлыком «4222 ОП МОУ на письмо ДВТПРОВТ от 09.03.22 403-5-1324.rtf.lnk» и EXE-файл с названием «МО 4222 на письмо ДВТПРОВТ от 09.03.22 403-5-1324.rtf», запускающийся при открытии LNK-файла.
После этого компьютер жертвы поражала модульная вредоносная программа SPECTR, включающая: SPECTR.Usb, SPECTR.Shell, SPECTR.Fs, SPECTR.Info, SPECTR.Archiver и другие компоненты. «Атака совершена группой UAC-0020 (Vermin), деятельность которой ассоциирована с так называемыми органами безопасности так называемой «ЛНР».
Заметим, что для атаки 17.03.2022 использована инфраструктура, которая применялась группой еще в июле 2019 года. Следует добавить, что серверное оборудование группы UAC-0020 (Vermin) уже много лет размещается на технической площадке луганского провайдера vServerCo (AS58271)», — сказано в публикации.