Правительственная команда реагирования на чрезвычайные события Украины CERT-UA зафиксировала массовое распространение электронных писем якобы от имени АО "Укртелеком".
По данным команды, хакеры присылали письма с темой "Судебная претензия по Вашему лицевому счету #7192206443063763 от: 06.02.2023" и приложением в виде RAR-архива "судебное письмо, информация о задолженности.rar".
Отмечается, что архив содержит текстовый документ "Ваш персональный код доступа -254507.txt" и еще один RAR-архив "судебное письмо, информация по задолженности. pdf.rar", защищенный паролем. Во втором архиве находится исполняемый файл "судебное письмо, информация по задолженности.pdf.exe", размером более 600МБ.
"Запуск EXE-файла приведет к установке на компьютере жертвы программы для удаленного контроля и наблюдения Remcos, являющейся разработкой компании "BreakingSecurity" (на веб-сайте производителя можно загрузить бесплатную версию продукта; минимальная стоимость варианта "Professional" составляет 58€) ", – сообщили в CERT-UA.
Отмечается, что выявленная активность отслеживается по идентификатору UAC-0050 по меньшей мере с 2020 года. Предыдущие кибератаки данной группы осуществлялись с применением программы для удаленного администрирования RemoteUtilities.
"Исходя из того, что объектами кибератак обычно (но не исключительно) являются органы государственной власти Украины, а также, принимая во внимание функционал используемых программ, считаем, что активность осуществляется с целью шпионажа", - акцентировали в правительственной команде.