Урядова команда реагування на комп'ютерні надзвичайні події України зафіксувала масове розповсюдження електронних листів начебто від імені АТ "Укртелеком".
Листи з темою "Судова претензія за Вашим особовим рахунком # 7192206443063763 от: 06.02.2023" та додатком у вигляді RAR-архіву "судовий лист, інформація щодо заборгування.rar" містять текстовий документ "Ваш персональний код доступу -254507.txt" та ще один RAR-архів "судовий лист, інформація щодо заборгування. pdf.rar", захищений паролем. У другому архіві розміщений файл "судовий лист, інформація щодо заборгування.pdf.exe", розміром більше 600 МБ.
Запуск цього EXE-файлу призведе до встановлення на комп'ютері жертви програми для віддаленого контролю та спостереження Remcos. Ця програма від компанії BreakingSecurity є легітимним інструментом віддаленого адміністрування, а її варіант "Professional" продається на вебсайті виробника за ціною від 58€.
Виявлена активність відстежується за ідентифікатором UAC-0050 щонайменше від 2020 року. Попередні кібератаки згаданої групи здійснювалися із застосуванням програми для віддаленого адміністрування RemoteUtilities. Фахівці CERT-UA, виходячи з функціоналу програм і з того, що об'єктами кібератак зазвичай (але не винятково) є органи державної влади України, вважають, що така активність здійснюється з метою шпигунства.
