![attack-chin.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7V5-AVoOoPCNk-sABluC8WFnSs-qK0U6313y59nQ4w9vVMpAdjoMj2WUOIqXaL0cSkw5ap2E_pQtYYL-PvS9ddRaBTvX_FbnwKGFA1sQ-iLeA15We6OSQMi-dGNGmIAkw0U7pKREx1DR3SdGUp4_vD0v4e_NdwGl6HjlA1tPtcJMTvENooCCjonr9XcPi/s728-rw-ft-e30/attack-chin.jpg)
Исполнитель угрозы, известный как UAC-0050, использует фишинговые атаки для распространения Remco RAT, используя новые стратегии уклонения от обнаружения программным обеспечением безопасности.
"Излюбленным оружием группы является Remcos RAT, печально известная вредоносная программа для удаленного наблюдения и контроля, которая была на переднем крае ее шпионского арсенала", - заявили в отчете в среду исследователи безопасности Uptycs Картиккумар Катиресан и Шилпеш Триведи.
"Однако в своем последнем операционном новшестве группа UAC-0050 внедрила конвейерный метод для межпроцессного взаимодействия, демонстрируя их передовую адаптивность".
UAC-0050, действующий с 2020 года, имеет историю нацеливания на украинские и польские организации с помощью кампаний социальной инженерии, которые выдают себя за законные организации, чтобы обманом заставить получателей открывать вредоносные вложения.
В феврале 2023 года Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) приписала злоумышленнику фишинговую кампанию, направленную на доставку Remcos RAT.
За последние несколько месяцев один и тот же троянец был распространен как минимум в трех различных фишинговых волнах, причем одна такая атака также привела к внедрению программы для кражи информации под названием Meduza Stealer.
Анализ Uptycs основан на файле LNK, обнаруженном 21 декабря 2023 года. Хотя точный начальный вектор доступа в настоящее время неизвестен, подозревается, что она использовала фишинговые электронные письма, направленные против украинских военнослужащих, которые утверждают, что рекламируют роли консультантов в Армии обороны Израиля (IDF).
![Remcos RAT Remcos RAT](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEge3Ld2JC8P-UFKA5SBqhuBcssLFRNpfZTssPAHjRRlKkZhist0ot9I4Q9qe921kh0SVU-lg1EcKAJsrZurQBb1bP9J0xl9Vh0EgLgEMrJGIXarimiCQ9wKvnSgG-67fZ5M_NB0ooXO5BUyrUK_d0f5oZpFSrJ-g6V5k-0a2_rnRRFemx0XqDot3mFTU_HE/s728-rw-ft-e30/tool.jpg)
Рассматриваемый файл LNK собирает информацию об антивирусных продуктах, установленных на целевом компьютере, а затем извлекает и выполняет HTML-приложение с именем "6.hta" с удаленного сервера с использованием mshta.exe, встроенного в Windows двоичного файла для запуска HTA-файлов.
Этот шаг открывает путь для сценария PowerShell, который распаковывает другой сценарий PowerShell для загрузки двух файлов с именами "word_update.exe" и "ofer.docx" из домена new-tech-savvy[.]com.
Запуск word_update.exe заставляет ее создавать собственную копию с именем fmTask_dbg.exe и устанавливать постоянство путем создания ярлыка для нового исполняемого файла в папке автозагрузки Windows.
Двоичный файл также использует неназванные каналы для облегчения обмена данными между собой и недавно созданным дочерним процессом для cmd.exe чтобы в конечном итоге расшифровать и запустить Remcos RAT (версия 4.9.2 Pro), которая способна собирать системные данные, файлы cookie и информацию для входа в систему из веб-браузеров, таких как Internet Explorer, Mozilla Firefox и Google Chrome.
"Использование каналов в операционной системе Windows обеспечивает скрытый канал передачи данных, умело уклоняясь от обнаружения системами обнаружения конечных точек и реагирования (EDR) и антивирусными системами", - сказали исследователи.
"Хотя этот метод и не совсем новый, он знаменует значительный скачок в изощренности стратегий группы".