Когда ваш «админ» - шпион. Как легальный Remcos стал любимым инструментом хакеров в Украине

Военные и государственные структуры вновь оказались под прицелом целевой кибератаки, в которой злоумышленники сыграли на одной из самых болезненных тем для граждан. Такие сообщения использовались как приманка в новой фишинговой кампании, обнаруженной специалистами по кибербезопасности.

Атака приписывается группе Hive0156. По данным китайских специалистов 360 Threat Intelligence Center, в 2025 году группа ведёт особенно активную охоту за данными, нацеленную на военные и правительственные организации. На этот раз злоумышленники сосредоточились также и на Верховной раде.

Первичным каналом распространения атаки стал популярный в мессенджер Viber. Потенциальным жертвам рассылали архив с безобидным на вид названием, внутри которого находились ярлыки, замаскированные под официальные документы парламента. Среди них были запросы якобы от Верховной рады, сканы обращений родственников погибших военнослужащих и приложения со списками потерь за последние годы. Тематика была подобрана так, чтобы вызвать эмоциональный отклик и желание немедленно открыть файл.

После клика пользователь видел ожидаемый документ, но параллельно в системе начинала разворачиваться сложная цепочка заражения. В фоне запускались PowerShell скрипты и загружались дополнительные компоненты с удалённых серверов. Для обхода защитных механизмов использовались продвинутые техники вроде DLL Sideloading, нестандартных переходов управления и подмены содержимого легитимных системных модулей прямо в памяти.

Ключевую роль в атаке играл загрузчик HijackLoader. Он отвечал за проверку окружения, попытки обойти антивирусы, закрепление в системе через планировщика задач и подготовку финального этапа заражения. Для маскировки вредоносной активности код активно имитировал поведение легитимных библиотек Windows, подменял стек вызовов и даже динамически генерировал имена переменных окружения, делая каждую установку уникальной.

Конечной целью операции становилась установка трояна удалённого доступа (RAT) Remcos, который официально продаётся как средство администрирования, но давно и активно используется в шпионских кампаниях. После заражения Remcos даёт атакующему полный контроль над системой, включая кражу данных, удалённое выполнение команд, наблюдение за экраном и постоянное присутствие в системе. Управление осуществляется через удобную графическую панель, что позволяет как автоматизировать сбор информации, так и вручную работать с конкретными целями.

Китайские аналитики отмечают, что все элементы атаки хорошо вписываются в привычный почерк UAC-0184. Это и выбор жертв, и использование мессенджеров для доставки вредоносных файлов, и характерные приманки, оформленные под официальные военные и юридические документы, и связка HijackLoader с Remcos. Совокупность этих факторов позволяет с высокой уверенностью отнести кампанию именно к этой группе.

Специалисты в очередной раз подчёркивают, что подобные атаки рассчитаны не на технические уязвимости, а на доверие и эмоциональное состояние людей. В конкретных условиях такие темы, как судьбы погибших и компенсации семьям, становятся особенно мощным инструментом социальной инженерии. Это делает киберугрозу не только технической, но и глубоко психологической.