Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Remcos adlı meşru bir uzaktan erişim yazılımı kullanan ülkedeki devlet yetkililerine yönelik siber saldırılara karşı bir uyarı yayınladı.
Toplu kimlik avı kampanyası, takip ettiği bir tehdit aktörüne atfedildi. UAC-0050ajans, faaliyetin kullanılan araç seti göz önüne alındığında büyük olasılıkla casusluk tarafından motive edildiğini açıklıyor.
Bulaşma dizisini başlatan sahte e-postalar, Ukraynalı telekom şirketi Ukrtelecom’dan geldiğini iddia ediyor ve sahte bir RAR arşivi taşıyor. Dosyada bulunan iki dosyadan biri, 600 MB’ın üzerinde parola korumalı bir RAR arşivi, diğeri ise RAR dosyasını açmak için parolayı içeren bir metin dosyasıdır.
İkinci RAR arşivinin içine gömülü, Remcos uzaktan erişim yazılımının yüklenmesine yol açan ve saldırganın güvenliği ihlal edilmiş bilgisayarlara tam erişim sağlamasına yol açan bir yürütülebilir dosyadır.
Uzaktan kontrol ve gözetleme yazılımının kısaltması olan Remcos, Breaking Security tarafından ücretsiz olarak veya 58 € ile 945 € arasında bir maliyeti olan premium bir sürüm olarak sunulmaktadır.
İtalyan şirket, bunu “çok çeşitli işlevlere sahip, hafif, hızlı ve son derece özelleştirilebilir bir Uzaktan Yönetim Aracı” olarak adlandırıyor.
En son CERT-UA tavsiyesi, Ukrayna Devlet Siber Koruma Merkezi’nin (SCPC), kamu makamlarını ve kritik bilgi altyapısını hedef alan saldırıları nedeniyle Gamaredon olarak bilinen Rus devlet destekli bir tehdit aktörünü işaret ettiği sırada geldi.