Специалисты правительственной команды реагирования на чрезвычайные события Украины CERT-UA с помощью Trendmicro исследовали серию кибератак, направленных на военнослужащих ВСУ.
Подозрительную деятельность в конце 2023 года обнаружили специалисты Trendmicro и сообщили об этом CERT-UA. Во время этих атак злоумышленники под видом рекрутинга в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (ЦАХАЛ) рассылали в мессенджере Signal сообщения с вредоносным ПО. Такие сообщения содержат файлы-архивы, запуск содержимого которых приводит к заражению компьютера вредоносными программами REMCOSRAT и REVERSESSH. При этом названия и содержание архивов злоумышленники пытаются сделать интересными для военных – «допрос пленника», «геолокации», «команды кодирования», «позывные» и т.д. Подробная информация о технической стороне атаки представлена на сайте CERT-UA.
Несмотря на использование публично доступного инструментария (что может приводить к обнаружению сходств с другими атаками), описанная активность по другим специфическим признакам является отдельным кластером киберугроз и отслеживается по идентификатору UAC-0184.
В CERT-UA напоминают, что в случае обнаружения подозрительной активности на компьютерах и информационно-коммуникационных системах ВСУ необходимо безотлагательно информировать Центр кибербезопасности ИТС (в/ч А0334; email: csoc@post.mil.gov.ua).