CERT-UA зафиксировано массовое распространение электронных писем, якобы, от АО "Укртелеком", с темой "Судова претензія за Вашим особовим рахунком # 7192206443063763 от: 06.02.2023" и приложением в виде RAR-архива "судовий лист, інформація щодо заборгування.rar".
Архив содержит текстовый документ "Ваш персональный код доступа -254507.txt" и еще один RAR-архив "судовий лист, інформація щодо заборгування. pdf.rar", защищенный паролем. Во втором архиве находится исполняемый файл "судовий лист, інформація щодо заборгування.pdf.exe", размером более 600МБ.
Запуск EXE-файла приведет к установке на компьютере жертвы программы для удаленного контроля и наблюдения Remcos, которая является разработкой компании "BreakingSecurity" (на веб-сайте производителя можно скачать бесплатную версию продукта; минимальная стоимость варианта "Professional" составляет 58€).
Indicators of Compromise
IPv4
- 101.99.91.158
- 124.88.67.67
- 124.88.67.98
- 178.23.190.252
- 178.23.190.253
- 178.23.190.254
- 178.23.190.54
- 80.78.254.28
- 94.131.99.153
- 94.131.99.156
- 94.131.99.56
- 94.131.99.89
IPv4 Port Combinations
- 101.99.91.158:5222
- 124.88.67.67:5222
- 124.88.67.98:5222
- 178.23.190.252:8080
- 178.23.190.253:8080
- 178.23.190.254:8080
- 178.23.190.54:8080
- 94.131.99.153:5222
- 94.131.99.153:8080
- 94.131.99.156:5222
- 94.131.99.56:5222
- 94.131.99.89:5222
Domains
- telecomds.online
Emails
- info@telecomds.online
- gluschko.i.k@ukrtelecom.ua
MD5
- 43a4ce40b5f06ddce984176ae6c89058
- 5d2bc8cf04bef0aec1dc0fa65fb6ab53
- 83db7ccad37b6be6cd10d5cd9301a1ea
- 8712bdd0adcdab3a6cd7bc5886b6facc
- ee42511075de43ee5be1f719b9d821f3
SHA256
- 5047f53e2e496b38b1a11bc856c79d6602fb28f7a0b16a4c4082845dee225677
- 6438fd91958ed9da098e6efd518cbad889f0411cabb7e5a9dd26f810907764e0
- 644f8bf83d861db06b736b1d5e541e35d3eae75a74d6f2561fa26a9a271a2c2b
- ca408a4f313a8dc8afe42b490e74b345d758bc319c0b5b251f03fed84e8deb0e
- f1103f0e35b7b47f020f951f07a87c74275aacec6a2610690a0f80e34e8eae73