FortiGuard Labs è a conoscenza del fatto che una copia di Remote Manipulator System (RMS) è stata inviata dall’Ucraina a VirusTotal il 28 febbraio 2022. RMS è uno strumento di amministrazione remota legittimo che consente a un utente di controllare in remoto un altro computer. Il nome del file è in ucraino ed è “Evacuation Plan (approved by the SSU on 28.02.2022 by Order No. 009363677833).exe” in traduzione in inglese. La SSU probabilmente sta per Servizio di sicurezza dell’Ucraina. Perché è significativo? Ciò è significativo perché dato il nome del file, il paese in cui il file è stato inviato a VirusTotal e la situazione attuale in Ucraina, il file potrebbe essere stato distribuito agli ucraini. Che cosa fa il file? Il file installa automaticamente un Copia del software Remote Utilities legittimo sulla macchina compromessa. Il software consente a un utente remoto di controllare la macchina compromessa. Sulla base dei dati di telemetria raccolti da FortiGuard Labs, esiste un indirizzo IP in Ucraina connesso all’IP remoto che probabilmente appartiene all’attaccante. Come è stato distribuito il file agli obiettivi? Molto probabilmente tramite collegamenti in e-mail. Il CERT-UA ha pubblicato oggi un avviso che “i rappresentanti del Centro per la lotta alla disinformazione hanno iniziato a ricevere richieste di informazioni dalla posta del servizio di sicurezza ucraino. Tali notifiche sono falsi e sono un attacco informatico”. Si dice che l’e-mail di seguito sia stata utilizzata nell’attacco Traduzione automatica: Oggetto dell’e-mail: Piano di evacuazione da: SBU (Urgente) -28.02.2022 giorno di riposo: 534161ATTENZIONE! Questo è un foglio esterno: non fare clic sui collegamenti o aprire una scheda se non ti fidi dell’editor.Segnala un elenco sospetto a ib@gng.com.ua.Security Service of UkraineBuon pomeriggio, è necessario aver preso conoscenza del Piano di evacuazione elettronico fino al 03/01/2022, per fornire i dati sul numero dei dipendenti, compilare il documento secondo il Modulo 1980-22SBU-98. Per garantire la riservatezza dei dati trasferiti, sul deposito è impostata la password: 2267903645 .Vedi il documento su:hxxps://mega.nz/file/[reducted]Specchio 2: hxxps://files.dp.ua/en/[reducted] Specchio 3: hxxps://dropmefiles.com/[reducted]Sebbene i file remoti non fossero disponibili al momento dell’indagine, l’e-mail e il “Piano di evacuazione (approvato dalla SSU il 28.02.2022 con Ordine n. 009363677833).exe” sono probabilmente collegati in base al contenuto dell’e-mail e al nome del file . Il file può essere attribuito a un particolare attore di minacce È possibile che un attore di minacce abbia distribuito il file per prendere di mira l’Ucraina. Tuttavia, mentre il software Remote Utilities è installato in modo invisibile all’utente sul computer compromesso, visualizza un’icona nella barra delle applicazioni di Windows. Poiché la maggior parte degli attori delle minacce mira a nascondere le proprie attività, questo è potenzialmente un atto di attaccante inesperto che cerca di trarre vantaggio dall’attuale situazione in Ucraina. Qual è lo stato della copertura? FortiGuard Labs fornisce la seguente copertura AV contro i file coinvolti in questo attacco:Riskware/RemoteAdmin_RemoteUtilities
