به گزارش کارگروه بینالملل سایبربان؛ کمپین فیشینگ انبوه به عامل تهدیدی نسبت داده شده است که آن را با نام UAC-0050 دنبال میکند، با توجه به مجموعه ابزار بکار گرفته شده، این فعالیت احتمالاً با انگیزه جاسوسی انجام شده است.
ایمیلهای جعلی که توالی آلودگی را شروع میکنند، ادعا میکنند که از شرکت مخابراتی اوکراینی اوکرتلکام (Ukrtelecom) هستند و حاوی یک آرشیو RAR هستند. از دو فایل موجود در فایل، یکی یک آرشیو RAR محافظتشده با رمز عبور است که بیش از 600 مگابایت حجم دارد و دیگری یک فایل متنی حاوی رمز عبور برای باز کردن این فایل است.
در آرشیو دوم RAR یک فایل اجرایی تعبیه شده است که منجر به نصب نرمافزار دسترسی از راه دور رمکوس میشود و به مهاجم اجازه دسترسی کامل به رایانههای در معرض خطر فرماندهی را خواهد داد.
رمکوس، مخفف نرمافزار کنترل و نظارت از راه دور، توسط شرکت برکینگ سکیوریتی (Breaking Security) یا بهصورت رایگان یا بهعنوان نسخه پریمیوم با قیمتی بین 58 تا 945 یورو ارائه میشود.
این شرکت ایتالیایی آن را ابزار مدیریت از راه دور سبک، سریع و بسیار قابل تنظیم با طیف گستردهای از عملکردها نامیده است.
آخرین توصیه تیم واکنش اضطراری رایانهای اوکراین در حالی ارائه میشود که مرکز دولتی حفاظت سایبری (SCPC) اوکراین با انگشتان خود به سمت یک عامل تهدیدکننده تحت حمایت دولت روسیه معروف به گاماردون به دلیل حملات هدفمندش به مقامات دولتی و زیرساختهای اطلاعاتی مهم اشاره کرده است.
