Хакерська група, яка вже деякий час націлена на Україну, розпочала нову кампанію проти державних установ, використовуючи знайомий інструмент стеження — Remcos.
Хакери можуть зловживати складним програмним забезпеченням віддаленого доступу, яке продається та рекламується як законний інструмент адміністрування, щоб взяти повний контроль над зараженою системою.
Згідно з дослідженням Національної групи реагування на комп’ютерні надзвичайні ситуації (CERT-UA), під час нещодавньої атаки хакери розсилали фішингові листи своїм цілям, маскуючи їх під офіційні запити від Служби безпеки України (СБУ).
В електронному листі хакери попросили жертв надати певну інформацію, стверджуючи, що вона має вирішальне значення для «національної безпеки». У фейк листі містилося попередження, що якщо одержувачі не нададуть інформацію протягом зазначеного терміну, вони будуть притягнуті до відповідальності.
Запитана інформація була нібито перерахована у вкладеному PDF-файлі, який насправді встановлював Remcos на цільовому пристрої.
CERT-UA відстежує загрозу, що стоїть за цією компанією, як UAC-0050. Речник агентства сказав Recorded Future News, що ця група діє принаймні з 2020 року, атакуючи урядові установи не лише в Україні, але й у країнах Балтії та росії. За даними CERT-UA, цього року група була не дуже активною.
У лютому угруповання двічі атакувало українські державні органи з Remcos. В одному випадку хакери розсилали своїм жертвам фішингові листи, маскуючи їх під офіційні запити від Київського суду.
Раніше того ж місяця група надсилала своїм цілям фальшиві електронні листи зі шкідливим файлом, які видавалися за нагадування про оплату послуг від Укртелекому, великого українського інтернет-провайдера.
У новому звіті CERT-UA не уточнюється мета нещодавньої кампанії, але представник агентства зазначив, що це, швидше за все, шпигунська кампанія.
Хоча дослідники не приписують атаки безпосередньо росії, вони виявили, що доменні імена, які використовували хакери, були зареєстровані через російську компанію REGRU. (тобто узькі все ж якось причетні, хто б сумнівався)
Remcos був розроблений німецькою фірмою Breaking Security для дистанційного керування системами Windows, згідно з дослідженням компанії з кібербезпеки Trend Micro.
Breaking Security відкрито рекламує Remcos, описуючи його як «легкий, швидкий і настроюваний інструмент віддаленого адміністрування з широким набором функцій». Користувачі можуть завантажити безкоштовну версію ПЗ або придбати преміум-версію за 85 доларів.
Окрім надання віддаленого доступу, Remcos також може збирати дані з цільових пристроїв, включаючи інформацію про комп’ютер, таку як ім’я, тип системи та номер версії процесора, а також облікові дані користувача та особисту інформацію.
Remcos також може обійти антивірусний захист, запустившись як законний процес у Windows, і отримати права адміністратора, щоб вимкнути контроль облікових записів користувачів.
За даними компанії з кібербезпеки Check Point, програмне забезпечення зазвичай вбудовано в шкідливий ZIP-файл, який маскується під PDF-файл, який нібито містить рахунок-фактуру або замовлення.
Згідно з дослідженням Fortinet, під час однієї атаки минулого року зловмисники замаскували фішинговий електронний лист під сповіщення про платіж від надійного банку та попитали одержувача відкрити вкладений файл Excel.
Цей файл Excel відображав жовту панель безпеки, яка попереджала жертву про небезпечний код макросу. Повідомлення про файл спонукало жертву натиснути кнопку, щоб обійти попередження та виконати шкідливий макрокод, пояснює Fortinet.Тому і кажемо, що треба бути завжди на крок попереду і ніяких лінків та файлів ми не відкриваємо, тим паче від невідомих (навіть якщо це ніби то від держави, приклади вам вище). Також не зайвим було б вчитися боронити державу в мережі, адже з кожним роком все більше нападків.