Электронные письма, якобы отправленные от имени «Укртелекома», содержали файлы, которые запускали в действие шпионскую программу, сообщает Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA.
На компьютеры сотрудников органов государственной власти Украины поступали электронные письма с темой «Судебная претензия по Вашему лицевому счету # 7192206443063763 от: 06.02.2023» и приложением в виде RAR-архива «судебное письмо, информация о задолженности.rar». В приложении содержался текстовый документ и еще один архив, защищенный паролем со встроенным файлом «судебное письмо, информация по задолженности.pdf.exe», размером более 600 МБ.
При запуске файла на компьютере устанавливалась Remcos — программа для удаленного контроля и наблюдения от компании BreakingSecurity. Обычно ее используют для легитимного удаленного администрирования, однако в этом случае хакеры планировали таким образом шпионить за компьютерами жертв.
«Выявленная активность отслеживается по идентификатору UAC-0050 по меньшей мере с 2020 года. Предыдущие кибератаки осуществлялись с применением программы для удаленного администрирования RemoteUtilities. Исходя из функционала программ и из того, что объектами кибератак обычно являются органы государственной власти Украины, считается, что атака осуществляется с целью шпионажа», — говорят в CERT-UA.
Ранее киберпреступники уже пытались похищать данные, маскируясь под МИД Украины, а также ГСЧС (используя тему иранских дронов-камикадзе Shahed-136). В октябре-ноябре 2022 года подобные письма также поступали якобы от Госспецсвязи, пресс-службы Генштаба ВСУ, Службы безопасности Украины и от CERT-UA.