Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA вжила заходів щодо серії кібератак, в ході яких зловмисники розсилали в месенджері Signal військовослужбовцям ЗСУ повідомлення зі шкідливим програмним забезпеченням на тему рекрутингу до третьої окремої штурмової бригади ЗСУ та Армії оборони Ізраїлю (ЦАХАЛ).

Виявили підозрілу активність фахівці американо-японської компанії Trendmicro в кінці грудня 2023 року, про що повідомили CERT-UA. Повідомлення зловмисників містять файли-архіви, запуск вмісту яких призведе до зараження комп’ютера шкідливими програмами REMCOSRAT і REVERSESSH. При цьому, назви та вміст архівів зловмисники намагаються зробити цікавими для військових – «опитування полоненого», «геолокації», «команди кодування», «позивні» тощо.

З'ясовано, що не пізніше листопада 2023 року невстановленими особами засобами Signal здійснюється розповсюдження архівів, що містять LNK-файли, запуск яких ініціює ланцюг ураження шкідливими програмами REMCOSRAT і REVERSESSH, що призведе до створення технічних умов несанкціонованого віддаленого доступу до ЕОМ для зловмисників.

Як правило, згадані файли-ярлики містять обфусковану команду для завантаження і запуску за допомогою mshta.exe HTA-файлу, в якому знаходиться обфускований програмний код. В свою чергу VBScript-код здійснить запуск PowerShell-команди, що призначена для розшифрування (AES-128-ECB), декомпресії (GZIP) та запуску PowerShell-сценарію. Останній забезпечить завантаження і запуск файлу(-ів) шкідливої програми, а також документ-приманку (PDF або DOCX). При цьому, назви та вміст таких документів є також дуже релевантними для військових: "опитування полоненого", "геолокації", "команди кодування", "позивні" тощо.

Зауважимо, що, незважаючи на використання публічно доступного інструментарію (що може призводити до виявлення схожостей з іншими атаками), описана активність за іншими специфічними ознаками є окремим кластером кіберзагроз та відстежується за ідентифікатором UAC-0184.