Das Computer Emergency Response Team der Ukraine (CERT-UA) hat eine Warnung vor Cyberangriffen auf staatliche Behörden in der Ukraine herausgegeben, die eine legitime Fernzugriffssoftware namens Remcos einsetzen.
Die Massen-Phishing-Kampagne wird einem Bedrohungsakteur zugeschrieben, den das CERT-UA als UAC-0050 identifiziert hat. Die Agentur beschreibt die Aktivitäten als wahrscheinlich spionagemotiviert, wenn man die verwendeten Tools betrachtet.
Die gefälschten E-Mails, die die Infektionssequenz in Gang setzen, geben vor, vom ukrainischen Telekommunikationsunternehmen Ukrtelecom zu stammen und enthalten ein RAR-Archiv, das als Köder dient. Von den zwei Dateien in der Datei ist eine ein passwortgeschütztes RAR-Archiv, das über 600 MB groß ist, und die andere eine Textdatei, die das Passwort zum Öffnen der RAR-Datei enthält.
In das zweite RAR-Archiv ist eine ausführbare Datei eingebettet, die zur Installation der Remcos-Fernzugriffssoftware führt und dem Angreifer vollen Zugriff auf die kompromittierten Computer gewährt.
Remcos, die Abkürzung für Fernsteuerungs- und Überwachungssoftware, wird von Breaking Security entweder kostenlos oder als Premium-Version angeboten, die zwischen 58 und 945 Euro kostet.
Das italienische Unternehmen bezeichnet es als „leichtgewichtiges, schnelles und hochgradig anpassbares Remote Administration Tool mit einer breiten Palette von Funktionen“.
Die jüngste Empfehlung des CERT-UA kommt zu einem Zeitpunkt, an dem das Staatliche Cyberschutzzentrum (SCPC) der Ukraine einen vom russischen Staat gesponserten Bedrohungsakteur namens Gamaredon für seine gezielten Angriffe auf Behörden und kritische Informationsinfrastrukturen verantwortlich macht.