Печально известная киберпреступная группировка UAC-0050 недавно обновила методику своих атак, используя ряд новых фишинговых технологий для распространенияТроянский конь с дистанционным управлением (вычислительная техника) Ремкос РАТИсследователи безопасности Uptycs Картиккумар Катиресан и Шилпеш Триведи в своем отчете, опубликованном в среду, заявили: "Remcos RAT был главным оружием UAC-0050, вредоносной программы, известной своими возможностями удаленного мониторинга и контроля. Вредоносная программа, известная своими возможностями удаленного мониторинга и контроля, является мощным инструментом для шпионских операций".
"Однако в последней атаке UAC-0050 использует метод конвейерной передачи данных для межпроцессного взаимодействия, демонстрируя высокий уровень адаптивности".
UAC-0050 действует с 2020 года и атакует украинские и польские организации, маскируясь под легитимную организациюсоциальная инженерияЖертву обманом заставляют открыть вредоносное вложение.
В феврале 2023 года Украинская группа реагирования на компьютерные аварии (CERT-UA) связала эту организацию с фишинговой кампанией, распространяющей Remcos RAT. За последние несколько месяцев UAC-0050 запустила как минимум три различныхфишинговая атака (вычислительная техника)В одном случае был задействован похититель Meduza.кража информацииИнструменты.
Анализ Uptycs основан на файле LNK, обнаруженном 21 декабря 2023 года.2 Файл LNK был обнаружен Uptycs в ходе фишинговой миссии, направленной на украинских военных. Хотя точно неизвестно, как произошло первоначальное вторжение, предполагается, что файл мог быть отправлен через фишинговые электронные письма, направленные на украинских военных, в которых утверждалось, что они предлагают консультационные должности в Армии обороны Израиля (ЦАХАЛ).
Этот LNK-файл собирает информацию об антивирусном программном обеспечении, установленном на целевом компьютере, а затем использует локальный двоичный файл Windows mshta.exe для получения и выполнения HTML-приложения с именем "6.hta" с удаленного сервера. Этот шаг открывает путь для запуска сценария PowerShell, который извлекает другой сценарий PowerShell из домена new-tech-savvy[.] com для загрузки двух файлов с именами "word_update.exe" и "ofer.docx".
Запуск word_update.exe приводит к созданию его собственной копии под именем fmTask_dbg.exe, а постоянство достигается путем создания ярлыка нового исполняемого файла в папке запуска Windows.
Двоичный файл также использует безымянную трубу для обмена данными между собой и порожденным подпроцессом cmd.exe, в итоге расшифровывая и запуская Remcos RAT (версия 4.9.2 Pro) - троянца, способного похищать системные данные, куки и информацию для входа в систему из веб-браузеров, таких как Internet Explorer, Mozilla Firefox и Google Chrome).
Исследователи заявили: "Использование труб в операционной системе Windows обеспечивает скрытый канал передачи данных, который ловко обходит обнаружение системами обнаружения и реагирования на конечные точки (EDR) и антивирусными системами. Хотя эта техника не является абсолютно новой, она знаменует собой важный шаг в изощренности методов атак организации".
Автор статьи - SnowFlake, при воспроизведении просьба указывать: https://cncso.com/ru/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html.
