09/01/24
Хакерская группировка, известная как UAC-0050, активно использует фишинговые атаки для распространения вредоносного программного обеспечения Remcos RAT. Это программное обеспечение предназначено для удалённого наблюдения и управления, и играет ключевую роль в шпионском арсенале группы, как отмечают исследователи безопасности из компании Uptycs.
Начиная с 2020 года, UAC-0050 активно атакует украинские и польские организации, используя социальную инженерию и маскируясь под легитимные организации. В феврале ИБ-специалисты атакованных стран связали эту группу с фишинговой кампанией по доставке Remcos RAT, пишет Securitylab.
Анализ Uptycs, опубликованный 3 января, основан на обнаруженном в конце декабря LNK-файле, который собирает информацию о наличии антивирусного программного обеспечения на заражённом компьютере. Этот файл активирует сценарий PowerShell для загрузки и запуска Remcos RAT, который способен собирать системные данные и информацию для входа в веб-браузерах, таких как Internet Explorer, Mozilla Firefox и Google Chrome.
За последние несколько месяцев один и тот же троянец был использован как минимум в трёх различных фишинговых волнах, причём одна такая атака также привела к внедрению программы для кражи информации под названием Meduza Stealer.
Одной из новых тактик группы UAC-0050 является использование так называемых «неименованных каналов» (Unnamed Pipes) в операционной системе Windows для передачи данных, что позволяет скрытно обходить системы обнаружения и реагирования на инциденты и антивирусные программы.
Исследователи отмечают, что, хотя использованная группировкой техника и не нова, она свидетельствует о значительном увеличении сложности стратегий хакеров из UAC-0050.
