Usługi cyberprzestępcze Rosjan. Grupa UAC‑0050 atakuje

Nikomu niepotrzebna i przeciągająca się wojna implikuje nienaturalny wzrost zapotrzebowania na usługi defensywne dla sektora prywatnego i państwowego. Dodatkowo dynamiczny rozwój nowoczesnych technologii oraz dostęp do taniej mocy z chmury obliczeniowej sprzyja rozwojowi cyberataków. Mamy zatem do czynienia z dwoma zwalczającymi się obozami – obrońców i atakujących.

Zapotrzebowanie na cyber-usługi defensywne nie będzie maleć. Co za tym idzie cyber crime as a service również będzie odnotowywać wzrost przychodów. Według firmy Statista w zeszłym roku globalne straty w wyniku cyberataków wyniosły 8.15 bln dolarów. W roku 2024 szacuje się, że koszt obsługi cyberataków wzrośnie o kolejny bilion dolarów i będzie wzrastać rok do roku o kolejny bilion aż do 2028 r.

Wspominamy o tym we wstępie, aby nałożyć tło dla opisywanego ugrupowania przestępczego UAC-0050 wywodzonego się z Rosji.

UAC-0050 są aktywni od 2017 r., chociaż trudno w takich przypadkach znaleźć ten pierwszy punk zapalny. Hakerzy z Rosji atakują teraz głównie agencje rządowe w Ukrainie. Wykorzystują trojana Remcos RAT w kampaniach phishingowych. Według statystyk Remcos był na drugim miejscu najczęściej występujących trojanów w drugim kwartale 2023 r. w Polsce i na świecie. Oprogramowanie jest całkowicie legalne i jest do kupienia w sieci jako "narzędzie do zdalnego zarządzania".

Arsenał możliwości trojana jest wszechstronny, stąd szerokie zainteresowanie nim wśród cyberprzestępców. Remcos może ukrywać się pod postacią różnych plików. Najczęściej Remcos wykorzystywany jest do zdalnego sterowania komputerem ofiary, przechwytywania klawiszy, masowego pobierania plików z dysków, wykonywania zdalnych poleceń, wszystkiego co jest związane z kradzieżą danych.

Dalsza część artykułu pod materiałem wideo

Dwa ataki z użyciem Remcos (link 1 i link 2) opisywał w listopadzie 2023 r. ukraiński CERT i szczerze przyznać trzeba, że masowe rozprzestrzenianie spamu z załącznikami RAR do ukraińskich władz nie jest czymś, czemu warto poświęcać większą uwagę. Jest to prymitywna próba dostarczenia malware do przypadkowego systemu, ale oddajmy atakującym, że do rozsyłania spamu wykorzystują wykupione ukraińskie domeny lub skradzione konta pocztowe, w tym jedno konto w rządowej domenie ukraińskiej, co może uśpić czujność.

Za to wart odnotowania jest projekt DaVinci rozwijany przez hakerów z grupy UAC-0050.

Hakowanie kont mailowych, profili na portalach social media, kont do komunikatorów, uzyskiwanie zdalnego dostępu do komputerów, przeprowadzanie ataków DoS, wyszukiwanie informacji o skradzionych samochodach, niszczenie danych z innych komputerów i wiele więcej… To niektóre pozycje, które znajdują się w ofercie DaVinci.

Do reklamowania swoich usług używają kilku domen, a jedna z nich ciągle działa. Mają też konta na Facebooku (nie aktualizowane), Telegramie i Instagramie.

Zdaniem jednego z badaczy ugrupowanie w ten sposób chce zwrócić uwagę na swoje usługi. Ponadto opublikowane metadane przez ukraiński CERT na temat grupy także było celem hakerów, aby zyskać rozgłos.

Bardzo interesujące opracowanie w pigułce na temat grupy, w tym używane techniki i taktyki, techniczne informacje dotyczące adresacji serwerów, używanych narzędzi itp. jest dostępne na tej stronie.

Hakerzy z tego ugrupowania (i nie tylko tego) w pierwszej kolejności używają adresów email do rozsyłania wiadomości. Zatem email jest wektorem ataku, na który warto zwrócić uwagę i jeżeli tak się wcześniej już stało – przypomnieć sobie zasady i sprawdzić konfigurację zabezpieczenia poczty. Obowiązek prawny stosowania rekordów SPF i DMARC mają podmioty świadczące usługi poczty elektronicznej, ale to na klientach końcowych i tak spoczywa indywidualna odpowiedzialność za weryfikowanie tych zabezpieczeń, czy są one stosowane w praktyce. Prawidłowa konfiguracja tych rekordów w znaczący sposób wpływa nie tylko na bezpieczeństwo (ochrona przed podszywaniem się pod nadawcę), ale i samą dostarczalność maili.

Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora