Remexi troyan dasturi Erondagi diplomatik vakolatxonalarni josuslik qilish uchun ishlatilmoqda.
Remexi’ning takomillashtirilgan versiyasi klaviatura tugmachalarini ushlab oladi, skrinshotlar oladi va brauzer ma’lumotlarini ajratib oladi.
Kiberjosuslar Erondagi xorijiy diplomatik vakolatxonalarni josuslik qilish uchun Remexi zararli dasturining takomillashtirilgan versiyasi bilan qurollanishdi. Kaspersky Lab tadqiqotchilari o’tgan kuzda (u hali ham davom etayotgan paytda) zararli dastur kampaniyasini o’rganib chiqdilar va bu ichki kiberjosuslik operatsiyasi degan xulosaga kelishdi. Remexi-ning takomillashtirilgan versiyasi klaviatura bosishlarini ushlab olish, skrinshotlar olish va brauzer ma’lumotlarini (qidiruv tarixi va cookie-fayllarni o’z ichiga olgan holda) iloji boricha shifrlangan shaklda olish imkoniyatiga ega.
Mijoz va server tomonida tajovuzkorlar Microsoft texnologiyalariga juda tayanadilar. Buyruqlarni qabul qilish va ma’lumotlarni ajratib olish uchun troyan standart Windows yordamchi dasturlaridan, jumladan, Microsoft Background Intelligent Transfer Service (BITS) bitsadmin.exe dan foydalanadi. Troyan jabrlanuvchilar tomonidan yuborilgan HTTP so’rovlarini qayta ishlash uchun .asp texnologiyasidan foydalanadigan IIS serverlari to’plami tomonidan boshqariladi.
Remexi haqida birinchi marta 2015-yilda Symantec tadqiqotchilari xabar berishgan. Trojanning yangi varianti haqidagi vaqt belgilari 2018-yil mart oyiga ishora qiladi. Uning jabrlanuvchi tizimlariga qanday kirib borishi noma’lumligicha qolmoqda. Biroq, bir holatda Kaspersky Lab tadqiqotchilari Remexi asosiy modulining bajarilishi va PE fayli sifatida kompilyatsiya qilingan AutoIt skriptining bajarilishi o’rtasida bog’liqlikni aniqladilar, bu trojan dropper bo’lishi mumkin.
Symantec mutaxassislari ilgari Remexi ni Eronning APT guruhi Chafer bilan bog’lashgan edi. Troyanning o’qilishi mumkin bo’lgan shifrlash kalitlaridan biri bu «salamati» so’zi bo’lib, bu forscha «sog’liq» so’zining lotincha talaffuzidir. Tadqiqotchilar shuningdek, zararli dastur kodida Windows foydalanuvchi nomi «Mohamadreza New» bilan .pdb yo’lini topdilar. Qizig’i shundaki, FBI veb-saytida eng ko’p qidirilayotgan kiberjinoyatchilar qatorida Muhammad Reza ismli ikki eronlik ro’yxatga olingan. Biroq, bu nom Eronda juda keng tarqalgan va uning kodda mavjudligi shubhali bo’lishi mumkin.
