Російські хакери розсилають листи зі шкідливим софтом, користуючись збоєм "Київстару"

Російські хакери угруповання UAC-0050 використовують ситуацію з "Київстаром" при розсиланні українцям листів зі шкідливим програмним забезпеченням – у вигляді архівних файлів із назвами "Заборгованість абонента", "Запит", "Документи" тощо, попереджає Держспецзв’язку.

Джерело: Державна служба спеціального зв’язку та захисту інформації України й урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA

Дослівно Держспецзв’язку: "Хакери продовжують використовувати проблеми, які хвилюють тисячі українців, для розповсюдження шкідливого програмного забезпечення. Цього разу фахівці Урядової команди реагування на комп'ютерні надзвичайні події України CERT-UA зафіксували масове розсилання електронних листів з тематикою "заборгованості за договором Київстар" і вкладенням у вигляді архіву "Заборгованість абонента.zip".

На електронні пошти українців приходили листи щодо "Заборгованості за договором Київстар", які містили вкладення у вигляді архіву "Заборгованість абонента.zip" з додатками у вигляді вкладених захищених паролем RAR-архівів.

Крім того, в CERT-UA зафіксовано розповсюдження листів за темою "Запит СБУ" та вкладенням у вигляді архіву "Документи.zip". Він містить захищений паролем RAR-архів "Запит.rar" з виконуваним файлом "Запит.exe". Відкриття архіву та запуск файлу, як і в попередньому випадку, призводять до ураження програмою віддаленого доступу  RemcosRAT".

Деталі: Вранці 12 грудня стався масштабний збій у роботі оператора мобільного зв'язку "Київстар".

А 21 грудня команда CERT-UA зафіксувала масове розповсюдження електронних листів з тематикою "Заборгованості за договором Київстар" та вкладенням у вигляді архіву "Заборгованість абонента.zip".

Зазначений ZIP-архів містить розділений на 2 частини RAR-архів "Заборгованість абонента.rar", в якому знаходиться однойменний архів захищений паролем. В останньому знаходиться документ з макросом "Заборгованість абонента.doc". 

У разі активації код макросу за допомогою оглядача файлів (explorer.exe) з використанням протоколу SMB здійснить завантаження на ЕОМ та запуск файлу "GB.exe". 

У свою чергу, зазначений файл є SFX-архівом, що містить BATCH-скрипт для завантаження з сервісу bitbucket та запуску виконуваного файлу "wsuscr.exe", обфускованого за допомогою SmartAssembly .NET, призначенням якого є дешифрування та запуск програми для віддаленого управління RemcosRAT (ідентифікатор ліцензції: 5639D40461DCDD07011A2B87AD3C9EDD). 

Окрім того, зафіксовано розповсюдженян листів з темою "Запит СБУ" та вкладенням у вигляді архіву "Документи.zip", що містить захищений паролем та розділений на 3 частини RAR-архів "Запит.rar". В останньому знаходиться виконуваний файл "Запит.exe". У випадку відкриття такого архіву та запуску виконуваних файлів ЕОМ може бути уражена програмою RemcosRAT (ідентифікатор ліцензії: 5639D40461DCDD07011A2B87AD3C9EDD).

Окрім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477 (STARK INDUSTRIES SOLUTIONS LTD).

За даними Держспецзв’язку, це не перша подібна атака угруповання UAC-0050. 

Нещодавно кіберзловмисники здійснювали розсилання листів щодо "судових претензій" і "заборгованості". Об’єктом атаки стали користувачі з України та Польщі.

Група UAC-0050 також намагалася викрадати дані, маскуючись під МЗС України, робила шкідливі розсилки нібито від СБУ, Печерського райсуду Києва, "Укртелекому".

Минулого року також були зафіксовані розсилки електронних листів зі шкідливим вкладенням начебто від імені ДСНС, пресслужби Генштабу ЗСУ, СБУ, від імені Держспецзв’язку і навіть від CERT-UA.