Кібербезпека

Шалені атаки хакерської групи UAC-0050: RemcosRAT, QuasarRAT та RemoteUtilities – нова загроза для України

⠀Поширити:

Урядова команда CERT-UA, яка діє при Держспецзв’язку, зафіксувала активність групи UAC-0050, що масово використовує електронні листи для поширення шкідливих програм. Інциденти сталися 9 та 11 січня 2024 року.

9 січня відбулася розсилка листів із темами “Запит судових документів” та “Запит”, додаючи вкладення у вигляді RAR-архіву “Запит.rar”. Архів містив виконуваний файл, який ініціював встановлення RemcosRAT, програми для віддаленого управління.

[integrate_google_drive data=”eyJ0eXBlIjoiZ2FsbGVyeSIsInNob3dGaWxlcyI6dHJ1ZSwic2hvd0ZvbGRlcnMiOnRydWUsIm1vZHVsZVdpZHRoIjoiMTAwJSIsIm1vZHVsZUhlaWdodCI6IiIsImVtYmVkV2lkdGgiOiIxMDAlIiwiZW1iZWRIZWlnaHQiOiI0ODBweCIsImdhbGxlcnlIZWlnaHQiOjMwMCwiZ2FsbGVyeU1hcmdpbiI6NSwiZ2FsbGVyeVZpZXciOiJyb3VuZGVkIiwic2hvd0hlYWRlciI6ZmFsc2UsInNob3dCcmVhZGNydW1icyI6dHJ1ZSwiYWxsb3dFbWJlZFBvcG91dCI6dHJ1ZSwiZW1iZWRUeXBlIjoicmVhZE9ubHkiLCJzaG93UmVmcmVzaCI6dHJ1ZSwib3BlbmVkUGxheWxpc3QiOnRydWUsInNob3dGdWxsc2NyZWVuIjp0cnVlLCJuZXh0UHJldmlvdXMiOnRydWUsInZvbHVtZUJ1dHRvbiI6dHJ1ZSwidmlldyI6Imxpc3QiLCJsYXp5TG9hZCI6dHJ1ZSwibGF6eUxvYWROdW1iZXIiOjEwMCwib3Blbk5ld1RhYiI6dHJ1ZSwic29ydCI6eyJzb3J0QnkiOiJuYW1lIiwic29ydERpcmVjdGlvbiI6ImFzYyJ9LCJwcmV2aWV3Ijp0cnVlLCJhbGxvd1ByZXZpZXdQb3BvdXQiOnRydWUsImRvd25sb2FkIjp0cnVlLCJmb2xkZXJEb3dubG9hZCI6ZmFsc2UsInppcERvd25sb2FkIjpmYWxzZSwiZGlzcGxheUZvciI6ImV2ZXJ5b25lIiwiZGlzcGxheVVzZXJzIjpbImV2ZXJ5b25lIl0sImRpc3BsYXlFeGNlcHQiOltdLCJzbGlkZU5hbWUiOnRydWUsInNsaWRlSGVpZ2h0IjoiMzAwcHgiLCJzbGlkZXNUb1Nob3ciOjMsInNsaWRlc1RvU2Nyb2xsIjoxLCJzbGlkZUF1dG9wbGF5U3BlZWQiOjMwMDAsInNsaWRlRG90cyI6dHJ1ZSwiZm9sZGVycyI6W3siaWQiOiIxRmNUUFd3eDM5a1JvdFdQbGtGZ0RyN1hpQ2ZsS1FTM2MiLCJuYW1lIjoi0LfQsNCy0LDQvdGC0LDQttC10L3QvdGPLnBuZyIsInR5cGUiOiJpbWFnZS9wbmciLCJzaXplIjoiODIwMjI3IiwiaWNvbkxpbmsiOiJodHRwczovL2RyaXZlLXRoaXJkcGFydHkuZ29vZ2xldXNlcmNvbnRlbnQuY29tLzE2L3R5cGUvaW1hZ2UvcG5nIiwidGh1bWJuYWlsTGluayI6Imh0dHBzOi8vbGgzLmdvb2dsZXVzZXJjb250ZW50LmNvbS9kcml2ZS1zdG9yYWdlL0FOdGdlX0dzVkkzSEpZb05Mb0xWS3ZmY2hyYWRSVnZzZ01XVWNxdmFTMm40SmFlMW9NQkJsQ1k1TmwzMDRTSTI1a1JuczhsRVpBWWdSVU5EMjNEV0M2ZXRlcGRiUHVUWGxraXdTcktNRGtSST1zMjIwIiwid2ViVmlld0xpbmsiOiJodHRwczovL2RyaXZlLmdvb2dsZS5jb20vZmlsZS9kLzFGY1RQV3d4MzlrUm90V1Bsa0ZnRHI3WGlDZmxLUVMzYy92aWV3P3VzcD1kcml2ZXNkayIsIndlYkNvbnRlbnRMaW5rIjoiaHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL3VjP2lkPTFGY1RQV3d4MzlrUm90V1Bsa0ZnRHI3WGlDZmxLUVMzYyZleHBvcnQ9ZG93bmxvYWQiLCJjcmVhdGVkIjoiMjAyNC0wMS0xNFQxMzowNjowMi44OTJaIiwidXBkYXRlZCI6IjIwMjQtMDEtMTRUMTM6MDY6MDIuODk4WiIsImRlc2NyaXB0aW9uIjpudWxsLCJwYXJlbnRzIjpbIjFGT0hmM0NmMDMwWGo5N1pwM0RyZWpGRXJ2MXNlRDg4eCJdLCJzaGFyZWQiOmZhbHNlLCJzaGFyZWRXaXRoTWVUaW1lIjpudWxsLCJleHRlbnNpb24iOiJwbmciLCJyZXNvdXJjZUtleSI6bnVsbCwiY29weVJlcXVpcmVzV3JpdGVyUGVybWlzc2lvbiI6ZmFsc2UsInN0YXJyZWQiOm51bGwsImV4cG9ydExpbmtzIjpudWxsLCJhY2NvdW50SWQiOiIwMjkzNjk4MTU3MzUyNjQ5NjAwOSIsInBlcm1pc3Npb25zIjp7ImNhblByZXZpZXciOnRydWUsImNhbkRvd25sb2FkIjp0cnVlLCJjYW5FZGl0IjpmYWxzZSwiY2FuRGVsZXRlIjp0cnVlLCJjYW5UcmFzaCI6dHJ1ZSwiY2FuTW92ZSI6dHJ1ZSwiY2FuUmVuYW1lIjp0cnVlLCJjYW5TaGFyZSI6dHJ1ZSwiY29weVJlcXVpcmVzV3JpdGVyUGVybWlzc2lvbiI6ZmFsc2UsImNhbkNoYW5nZUNvcHlSZXF1aXJlc1dyaXRlclBlcm1pc3Npb24iOm51bGwsInVzZXJzIjp7IjAyOTM2OTgxNTczNTI2NDk2MDA5Ijp7InR5cGUiOiJ1c2VyIiwicm9sZSI6Im93bmVyIiwiZG9tYWluIjpudWxsfX19LCJleHBvcnRBcyI6W10sIm1ldGFEYXRhIjp7IndpZHRoIjozODQwLCJoZWlnaHQiOjE3MjJ9LCJpc0ZvbGRlciI6ZmFsc2V9XSwiZ2FsbGVyeUltYWdlU2l6ZSI6ImZ1bGwiLCJnYWxsZXJ5T3ZlcmxheSI6ZmFsc2V9″]

11 січня відбулися нові атаки з темою “Запит від компанії Медок”. Вкладення у вигляді RAR-архіву “Запит.rar” містило файли, що встановлюють QuasarRAT та Remote Utilities – шкідливі програми для віддаленого керування.

[integrate_google_drive data=”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”]

Усі атаки пов’язані із групою UAC-0050 та використовують спільні сервери управління AS215939.

[integrate_google_drive data=”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”]

CERT-UA закликає бути обережними при отриманні листів із невідомих джерел та не відкривати додатки без перевірки.

⠀Поширити:

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *