Кібератака UAC-0050 з використанням Remcos RAT, замаскована під “запит СБУ” (CERT-UA#8026)

Загальна інформація 一般信息

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт масового розповсюдження електронних листів, начебто, від імені СБ України із вкладенням у вигляді RAR-файлу “Електронна вимога СБУ України.rar”.
乌克兰政府计算机应急小组（CERT-UA）发现了据称代表乌克兰安全局大量分发电子邮件的事实，并附有RAR文件“乌克兰安全局.rar的电子请求”形式的附件。

Згаданий архів містить ще один одноіменний архів в якому знаходиться черговий, захищений паролем RAR-файл “Вимога СБУ 543 від 13.11.2023.pdf.rar”.
上述档案包含另一个同名档案，其中包含另一个受密码保护的 RAR 文件“2023 年 11 月 13 日的 SBU 请求 543.pdf.rar”。

Останній містить виконуваний файл “Вимога СБУ 543 від 13.11.2023.pdf.exe” (дата компіляції: 2023-11-12 16:15:36), запуск якого призведе до встановлення на ЕОМ програми для віддаленого управління Remcos RAT (дата компіляції: 2023-09-07 10:23:27).
后者包含可执行文件“SBU Requirement 543 dated 11/13/2023.pdf.exe”（编译日期：2023-11-12 16：15：36），其启动将导致在计算机上安装Remcos RAT远程控制程序（编译日期：2023-09-07 10：23：27）。

Персистентність Remcos RAT забезпечується шляхом створення запису в гілці Run реєстру операційної системи.
通过在操作系统注册表的“运行”分支中创建一个条目来确保Remcos RAT的持久性。

Конфігураційний файл містить 8 IP-адрес серверів управління, що функціонують на технічних потужностях компанії Shinjiru (Малайзія). Доменні імена зареєстровано 11.11.2023 через толерантну до кіберзлочинності російську компанію REG.RU.
配置文件包含8个在Shinjiru（马来西亚）技术设施中运行的控制服务器的IP地址。这些域名是在 2023 年 11 月 11 日注册的，原因是俄罗斯公司 REG.RU 对网络犯罪持容忍态度。

CERT-UA вжито невідкладних заходів з протидії кіберзагрозі.
CERT-UA已采取紧急措施来应对网络威胁。

Активність відстежується за ідентифікатором UAC-0050.
活动由 ID UAC-0050 跟踪。

Індикатори кіберзагроз 网络威胁指标

Файли: 文件：

24a6ddba4e8a55e330a1224f5c46080d    4bd8ec1e82fdea9d8d24f1e7a133d409aa941e13fcc7b6ce1889bed3b7a0afbc    Електронна вимога СБУ України.rar 
769f464fa505add7a477ad95407afec3    2ce640749819e27d457827eede4d14abbf65981cd716ef25d9489b7eeba314d2    Електронна вимога СБУ України.rar
e8a348fd628fc485fa30cca106958f78    6a6f71cf5cfeb8698987aa3e826b19ef05be3f0112c46d79b366feb914340335    Вимога СБУ 543 від 13.11.2023.pdf.rar
7e16efc0ae8da69273621889fadeefd8    a470c7e184f7277f00a4c6e523f57e0786c1c0c73688f7a0ab8e9e10fdb00742    Код 8161.txt
78850bbef776551ca830317fb244b086    a4d5382438138f679073396bca73dc4f6bc39420966944f4fea8a9ab4087d004    Вимога СБУ 543 від 13.11.2023.pdf.exe
ecf55f471a5fda7ffc89b4018f2f5edc    06cc87d4ccfa98fb2815c39fdf6faf03d781469b281e5567fd790b680861c8b2    Remcos.exe (Remcos RAT)

Мережеві: 网络：

info@davincigroup[.]online
(tcp)://111[.]90.147.133:465
(tcp)://111[.]90.147.133:4899
(tcp)://111[.]90.147.133:80
(tcp)://111[.]90.147.133:8080
(tcp)://111[.]90.147.133:81
(tcp)://111[.]90.147.157:80
(tcp)://111[.]90.147.188:80
(tcp)://111[.]90.147.190:8080
(tcp)://111[.]90.147.216:8080
(tcp)://111[.]90.147.21:80
(tcp)://111[.]90.147.78:80
(tcp)://111[.]90.147.98:80
111[.]90.147.133
111[.]90.147.157
111[.]90.147.188
111[.]90.147.190
111[.]90.147.21
111[.]90.147.216
111[.]90.147.78
111[.]90.147.98
davincigroup[.]online (2023-11-11; @reg.ru)
groupdavinci[.]online (2023-11-11; @reg.ru)
195[.]133.199.230
45[.]10.245.245

Хостові: 主机：

%PROGRAMDATA%\davinci\sql.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hts-UVISQY

Графічні зображення 图形

Рис.1 Приклад ланцюга ураження
图例.1 失败链示例

原文始发于CERT-UA：Кібератака UAC-0050 з використанням Remcos RAT, замаскована під “запит СБУ” (CERT-UA#8026)