Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

UAC-0050 таргетира европска финансиска институција со лажен домен и RMS малициозен софтвер

Објавено: 25.02.2026

Закана-актер поврзан со Русија е забележан како таргетира европска финансиска институција во рамки на социјален инженеринг напад, најверојатно со цел прибирање разузнавачки информации или финансиска кражба, што укажува на можно проширување на таргетирањето надвор од Украина и кон субјекти што ја поддржуваат земјата погодена од војната.

Активноста, насочена кон неименуван субјект вклучен во иницијативи за регионален развој и реконструкција, му се припишува на сајбер-криминална група позната како UAC-0050 (позната и како DaVinci Group). Компанијата BlueVoyant ја означува оваа заканувачка група со името Mercenary Akula. Нападот бил забележан претходно овој месец.

„Во нападот беше злоупотребен (спуфиран) украински судски домен за испраќање е-пошта што содржи линк до payload за далечински пристап,“ изјавија истражувачите Patrick McHale и Joshua Green во извештај споделен со The Hacker News. „Целта беше висок правен и политички советник вклучен во јавни набавки – позиција со привилегиран увид во институционалните операции и финансиските механизми.“

Почетната точка е spear-phishing е-пошта со правна тематика која ги насочува примателите да преземат архивска датотека хостирана на PixelDrain – сервис за споделување датотеки што го користи заканувачката група за да ги заобиколи безбедносните контроли базирани на репутација.

ZIP-датотеката иницира повеќеслоен синџир на инфекција. Во неа се наоѓа RAR-архива која содржи лозински заштитена 7-Zip датотека, во која има извршна датотека што се претставува како PDF документ преку често злоупотребуваниот трик со двојна екстензија (*.pdf.exe).

Извршувањето резултира со инсталирање на MSI инсталер за Remote Manipulator System (RMS) – руски софтвер за далечинска работна површина што овозможува далечинска контрола, споделување екран и пренос на датотеки.

„Користењето на вакви ‘living-off-the-land’ алатки им овозможува на напаѓачите постојан и прикриен пристап, при што често ја избегнуваат традиционалната антивирусна детекција,“ забележаа истражувачите.

Употребата на RMS е во согласност со претходниот modus operandi на UAC-0050, кој е познат по користење легитимен софтвер за далечински пристап како LiteManager, како и remote access тројанци како RemcosRAT, во напади насочени кон Украина.

Украинскиот тим за компјутерски итни интервенции (CERT-UA) ја опишува UAC-0050 како платеничка група поврзана со руските органи за спроведување на законот, која спроведува собирање податоци, финансиски кражби и информациско-психолошки операции под брендот Fire Cells.

„Овој напад го одразува добро познатиот и повторлив профил на напад на Mercenary Akula, но истовремено носи и значаен развој,“ соопшти BlueVoyant. „Досега нивното таргетирање беше главно насочено кон субјекти во Украина, особено сметководители и финансиски службеници. Сепак, овој инцидент укажува на можно испитување на институции во Западна Европа кои ја поддржуваат Украина.“

Објавата доаѓа во време кога Украина откри дека руските сајбер-напади насочени кон енергетската инфраструктура на земјата сè повеќе се фокусираат на прибирање разузнавачки информации за насочување на ракетни напади, наместо веднаш да ги нарушуваат операциите, објави The Record.

Компанијата за сајбер-безбедност CrowdStrike во својот годишен Global Threat Report наведува дека очекува актери поврзани со Русија да продолжат со агресивни операции со цел прибирање разузнавачки информации од украински цели и земји-членки на НАТО.

Ова вклучува активности на APT29 (позната и како Cozy Bear и Midnight Blizzard) за „систематско“ злоупотребување на довербата, организациската кредибилност и легитимитетот на платформите во рамки на spear-phishing кампањи насочени кон невладини организации (НВО) со седиште во САД и правен субјект во САД, со цел неовластен пристап до Microsoft сметките на жртвите.

„Cozy Bear успешно компромитираше или се претставуваше како лица со кои таргетираните корисници имаа доверливи професионални односи,“ соопшти CrowdStrike. „Меѓу лицата чии идентитети беа злоупотребени имаше вработени од меѓународни НВО-ограноци и про-украински организации.“

„Напаѓачот вложил значителни напори за да ги поткрепи овие лажни претставувања, користејќи легитимни компромитирани е-пошта сметки заедно со ‘burner’ комуникациски канали за да ја засили автентичноста.“

Извори:

  • The Hacker News – UAC-0050 Targets European Financial Institution With Spoofed Domain and RMS Malware The Hacker News