Ngày 08 tháng 2 năm 2023Ravie LakshmananTình báo về mối đe dọa / chiến tranh mạng
Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã đưa ra cảnh báo về các cuộc tấn công mạng nhằm vào các cơ quan nhà nước ở quốc gia triển khai phần mềm truy cập từ xa hợp pháp có tên Remcos.
Chiến dịch lừa đảo hàng loạt đã được quy cho một tác nhân đe dọa mà nó theo dõi là UAC-0050với cơ quan mô tả hoạt động này có khả năng được thúc đẩy bởi hoạt động gián điệp dựa trên bộ công cụ được sử dụng.
Các email giả khởi động quá trình lây nhiễm tự nhận là từ công ty viễn thông Ukraine Ukrtelecom và mang một kho lưu trữ RAR giả mạo. Trong số hai tệp có trong tệp, một tệp lưu trữ RAR được bảo vệ bằng mật khẩu có dung lượng hơn 600 MB và tệp còn lại là tệp văn bản chứa mật khẩu để mở tệp RAR.
Được nhúng trong kho lưu trữ RAR thứ hai là một tệp thực thi dẫn đến việc cài đặt phần mềm truy cập từ xa Remcos, cấp cho kẻ tấn công toàn quyền truy cập vào các máy tính bị xâm nhập.
Remcos, viết tắt của phần mềm giám sát và điều khiển từ xa, được Breaking Security cung cấp miễn phí hoặc dưới dạng phiên bản cao cấp có giá từ €58 đến €945.
Công ty Ý gọi nó là “Công cụ quản trị từ xa nhẹ, nhanh và có khả năng tùy biến cao với nhiều chức năng”.
Lời khuyên mới nhất của CERT-UA được đưa ra khi Trung tâm Bảo vệ Mạng Nhà nước (SCPC) của Ukraine chỉ tay vào một tác nhân đe dọa do nhà nước Nga tài trợ có tên là Gamaredon vì các cuộc tấn công có chủ đích nhằm vào các cơ quan công quyền và cơ sở hạ tầng thông tin quan trọng.
