НАЗАД К НОВОСТЯМ
Срочные новости

UAC-0050 расширяет кибершпионаж на европейский финансовый сектор с помощью RMS-вредоноса

2 мин чтенияИсточник: The Hacker News

Российская хакерская группа UAC-0050 атакует европейские финансовые учреждения, используя фишинг и RMS-вредонос для кражи данных и финансовых операций.

Российская группа UAC-0050 атакует европейский финансовый сектор

Киберпреступная группировка, связанная с Россией и отслеживаемая как UAC-0050, была замечена в атаке на европейское финансовое учреждение с использованием методов социальной инженерии для сбора разведданных или хищения финансовых средств. Эта кампания может свидетельствовать о расширении деятельности группы за пределы Украины с фокусом на организации, поддерживающие пострадавшую от войны страну.

Основные детали атаки

  • Киберпреступная группа: UAC-0050 (связана с Россией)
  • Цель: неназванное европейское финансовое учреждение
  • Тактики: поддельный домен и RMS-вредонос (Remote Manipulator System)
  • Цель атаки: вероятно, кибершпионаж или хищение финансовых средств
  • Геополитический контекст: переход от атак на Украину к более широкому кругу европейских целей

Технический анализ

Группа UAC-0050, ранее известная атаками на украинские организации, начала использовать RMS-вредонос — легитимный инструмент удалённого администрирования, перепрофилированный для злонамеренных целей. Атака включала использование поддельного домена, чтобы обманом заставить жертв выполнить вредоносное ПО, что обеспечило злоумышленникам постоянный доступ к скомпрометированным системам.

Хотя точный вектор заражения остаётся нераскрытым, вероятно, использовались методы социальной инженерии (например, фишинговые письма или мошеннические сайты) для доставки вредоносного ПО. RMS предоставляет злоумышленникам следующие возможности:

  • Удалённое управление заражёнными системами
  • Эксфильтрация данных
  • Механизмы персистентности для уклонения от обнаружения

Последствия и стратегические риски

Атака на европейское финансовое учреждение указывает на то, что UAC-0050 расширяет сферу своей деятельности, возможно, в ответ на геополитические изменения. Финансовые организации являются ценными целями для:

  • Сбора разведданных (например, мониторинг транзакций)
  • Прямого хищения средств (например, мошеннические переводы)
  • Нарушения цепочек поставок (например, атаки на платёжные системы)

Рекомендации по защите

Службам безопасности финансовых организаций следует:

  1. Отслеживать поддельные домены, имитирующие легитимные сервисы.
  2. Ограничивать использование RMS и аналогичных инструментов удалённого администрирования, если они не требуются для работы.
  3. Усилить обучение сотрудников по противодействию фишингу для снижения рисков социальной инженерии.
  4. Внедрять решения EDR/XDR для обнаружения аномальной активности удалённого доступа.
  5. Проводить поиск угроз (threat hunting) на наличие индикаторов компрометации (IoC), связанных с UAC-0050.

Эта кампания подчёркивает эволюцию ландшафта киберугроз, где финансово мотивированные и государственно связанные киберпреступники всё чаще пересекаются в атаках на критически важную инфраструктуру.

Поделиться

TwitterLinkedIn