Remcos RAT: новое оружие хакеров из UAC-0050 в кибервойне

Хакерская группировка, известная как UAC-0050, активно использует фишинговые атаки для распространения вредоносного программного обеспечения Remcos RAT. Это программное обеспечение предназначено для удалённого наблюдения и управления, и играет ключевую роль в шпионском арсенале группы, как отмечают исследователи безопасности из компании Uptycs.

Начиная с 2020 года, UAC-0050 активно атакует украинские и польские организации, используя социальную инженерию и маскируясь под легитимные организации. В феврале ИБ-специалисты атакованных стран связали эту группу с фишинговой кампанией по доставке Remcos RAT.

Анализ Uptycs, опубликованный 3 января , основан на обнаруженном в конце декабря LNK-файле, который собирает информацию о наличии антивирусного программного обеспечения на заражённом компьютере. Этот файл активирует сценарий PowerShell для загрузки и запуска Remcos RAT, который способен собирать системные данные и информацию для входа в веб-браузерах, таких как Internet Explorer, Mozilla Firefox и Google Chrome.

За последние несколько месяцев один и тот же троянец был использован как минимум в трёх различных фишинговых волнах, причём одна такая атака также привела к внедрению программы для кражи информации под названием Meduza Stealer.

Одной из новых тактик группы UAC-0050 является использование так называемых «неименованных каналов» (Unnamed Pipes) в операционной системе Windows для передачи данных, что позволяет скрытно обходить системы обнаружения и реагирования на инциденты и антивирусные программы.

Исследователи отмечают, что, хотя использованная группировкой техника и не нова, она свидетельствует о значительном увеличении сложности стратегий хакеров из UAC-0050.