ВАЖЛИВА ІНФОРМАЦІЯ !
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 21.12.2023 зафіксовано масове розповсюдження електронних листів з тематикою “Заборгованості за договором Київстар” та вкладенням у вигляді архіву “Заборгованість абонента.zip”.
Зазначений ZIP-архів містить розділений на 2 частини RAR-архів “Заборгованість абонента.rar”, в якому знаходиться однойменний архів захищений паролем. В останньому знаходиться документ з макросом “Заборгованість абонента.doc”.
У разі активації код макросу за допомогою оглядача файлів (explorer.exe) з використанням протоколу SMB здійснить завантаження на ЕОМ та запуск файлу “GB.exe”. В свою чергу зазначений файл є SFX-архівом, що містить BATCH-скрипт для завантаження з сервісу bitbucket та запуску виконуваного файлу “wsuscr.exe”, обфускованого за допомогою SmartAssembly .NET, призначенням якого є дешифрування та запуск програми для віддаленого управління RemcosRAT (ідентифікатор ліцензції: 5639D40461DCDD07011A2B87AD3C9EDD).
Окрім того, зафіксовано розповсюдженян листів з темою “Запит СБУ” та вкладенням у вигляді архіву “Документи.zip”, що містить захищений паролем та розділений на 3 частини RAR-архів “Запит.rar”. В останньому знаходиться виконуваний файл “Запит.exe”. У випадку відкриття такого архіву та запуску виконуваних файлів ЕОМ може бути уражена програмою RemcosRAT (ідентифікатор ліцензії: 5639D40461DCDD07011A2B87AD3C9EDD).
Окрім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477 (STARK INDUSTRIES SOLUTIONS LTD).
