Електронні листи, нібито відправлені від імені “Укртелекому”, містили файли, які запускали у дію шпигунську програму, повідомляє Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA.
На комп’ютери співробітників органів влади України надходили електронні листи з темою “Судова претензія за Вашим особовим рахунком # 7192206443063763 от: 06.02.2023” та додатком у вигляді RAR-архіву “судовий лист, інформація щодо заборгування.rar”. У додатку містився текстовий документ та ще один архів, захищений паролем із вбудованим файлом “судовий лист, інформація щодо заборгування.pdf.exe”, розміром понад 600 МБ.
Якщо файл запускався, на комп’ютері встановлювалась Remcos — програма для віддаленого контролю та спостереження від компанії BreakingSecurity. Зазвичай її використовують для легітимного віддаленого адміністрування, однак у цьому випадку хакери планували таким чином шпигувати за комп’ютерами жертв.
“Виявлена активність відстежується за ідентифікатором UAC-0050 щонайменше від 2020 року. Попередні кібератаки здійснювалися із застосуванням програми для віддаленого адміністрування RemoteUtilities. Виходячи з функціонала програм і з того, що об’єктами кібератак зазвичай є органи державної влади України, вважається, що така активність здійснюється з метою шпигунства”, — кажуть в CERT-UA.
Раніше кіберзловмисники вже намагалися викрадати дані, маскуючись під МЗС України, а також ДСНС (використовуючи тему іранських дронів-камікадзе Shahed-136). У жовтні-листопаді 2022 року подібні листи також надходили начебто від імені Держспецзв’язку, пресслужби Генштабу ЗСУ, Служби безпеки України та від CERT-UA.