Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA зафіксовано масове розповсюдження електронних листів начебто від імені Печерського районного суду міста Києва з темою “Печерський районний суд міста Києва” та додатком у вигляді RAR-архіву “електронний судовий запит № 7836071.rar”.
Архів містить текстовий документ “код доступу 3527 .txt” та захищений паролем RAR-архів “електронний судовий запит № 7836071.rar”, в якому знаходиться виконуваний файл “електронний судовий запит № 7836071.pdf.exe” розміром 688МБ з підробленим цифровим підписом.
Запуск EXE-файлу призведе до встановлення на комп’ютері жертви програми для віддаленого контролю та спостереження Remcos.
Зауважимо, що один з електронних листів містить заголовок “Received: from [91.228.10[.]77] (port=56344 helo=109x194x3x7.static-customer.bryansk.ertelecom[.]ru)”; при цьому, зазначена IP-адреса була застосована 13.02.2023 під час розсилання шкідливих електронних листів з темою “RE: Критичне оновлення безпеки” (MD5: 8fe5572d2683360d3483ad32e8bad9a1) та додатком у вигляді програми для віддаленого управління Remote Utilities (https://cert.gov.ua/article/3863542; CERT-UA#5961).
Виходячи з викладеного, вважаємо за можливе поєднати UAC-0050 та UAC-0096 в одну групу та продовжити відстеження активності за ідентифікатором UAC-0050.
Звертаємо увагу на той факт, що після успішного ураження комп’ютерів зловмисники здійснюють ексфільтрацію автентифікаційних даних, а також використовують інфіковану ЕОМ для розвідки локальної обчислювальної мережі та подальшого розвитку атаки на інформаційно-комунікаційну систему організації.
За матеріалами CERT-UA
Автор публікації
