محمل IDAT
اكتشف باحثو الأمن السيبراني حملة هجوم، تم تحديدها على أنها تهديد لفيروس طروادة الأوكراني المسمى Remcos RAT، والتي تم تسهيلها بواسطة أداة تحميل البرامج الضارة المعروفة باسم IDAT Loader. وقد أرجع فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA)، الذي يتتبع جهة التهديد باسم UAC-0184 (TA544)، الهجوم.
الهجوم، الذي تم تنفيذه من خلال استخدام IDAT Loader، يتضمن إخفاء المعلومات كتقنية. على الرغم من أن تقنيات إخفاء المعلومات، أو "Stego"، معترف بها على نطاق واسع. تتضمن تقنيات إخفاء المعلومات إخفاء المعلومات ضمن وسيط آخر، مثل إخفاء البيانات داخل الصور أو الملفات الصوتية أو أي محتوى رقمي آخر، لتمكين الاتصال السري دون جذب الانتباه. ومن الأهمية بمكان أن نفهم دورهم في التهرب من التدابير الدفاعية.
جدول المحتويات
يعمل برنامج تحميل IDAT على تسهيل تسليم حمولات البرامج الضارة للمرحلة التالية
إن IDAT Loader، الذي له أوجه تشابه مع عائلة محمل أخرى تسمى Hijack Loader، يعمل بنشاط على نشر حمولات مختلفة، بما في ذلك DanaBot و SystemBC و RedLine Stealer، على مدار عدة أشهر. تم استخدام هذا المحمل من قبل جهة تهديد تم تحديدها باسم TA544 لنشر Remcos RAT وSystemBC من خلال هجمات التصيد الاحتيالي.
تتضمن حملة التصيد الاحتيالي، التي كشف عنها CERT-UA في البداية في أوائل يناير 2024، استخدام الطعوم ذات الطابع الحربي لبدء سلسلة من العدوى. تؤدي هذه السلسلة في النهاية إلى نشر أداة تحميل IDAT، التي تستخدم صورة PNG مضمنة لإخفاء المعلومات لتحديد موقع Remcos RAT واستخراجه.
غالبًا ما يتم نشر Remcos RAT في حملات الجرائم الإلكترونية
يعد REMCOS RAT بمثابة حصان طروادة السائد للوصول عن بعد والذي يستخدم على نطاق واسع في كل من مساعي المجرمين الإلكترونيين والتجسس. يشتهر REMCOS بقدرته على السيطرة على أجهزة الكمبيوتر، ويمكنه جمع ضغطات المفاتيح والصوت والفيديو ولقطات الشاشة وبيانات النظام مع تسهيل تسليم حمولات إضافية من البرامج الضارة. عادةً، يتم نشر هذه البرامج الضارة من خلال رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات أو روابط ضارة، مما يؤدي إلى تثبيت RAT. ومن الجدير بالذكر أن REMCOS قد تم توزيعه من خلال وسائل مختلفة، بما في ذلك أدوات تحميل البرامج الضارة. تم استخدام البرامج الضارة بشكل ضار منذ منتصف عام 2010.
عند التنفيذ الناجح لـ REMCOS، تكتسب الجهات الفاعلة في مجال التهديد قدرات تحكم ومراقبة شاملة على النظام المستهدف. وهذا يمكّنهم من تسريب البيانات الحساسة سرًا على مدى فترة طويلة، مما قد يؤدي إلى تجنب الكشف عنها. إن استخدام مثل هذه المعلومات الحساسة، اعتمادًا على الهدف، ينطوي على خطر تعرض الضحايا للابتزاز، واحتمال فقدان الوظيفة في حالة اختراق بيانات الشركة، وسرقة البيانات التنظيمية. ويمكن بعد ذلك استغلال هذه البيانات المسروقة لتنظيم هجمات واسعة النطاق ومتطورة، مما يؤدي إلى إلحاق ضرر جسيم وربما لا يمكن إصلاحه بالمنظمات المتضررة أو سبل عيش الأفراد.
لا تزال أوكرانيا هدفاً لهجمات المجرمين السيبرانيين التي تشنها مجموعات القراصنة المتحالفة مع روسيا
حذر CERT-UA أيضًا من هجوم إلكتروني مستهدف يهدف إلى إصابة أنظمة الكمبيوتر التي تستخدمها القوات المسلحة الأوكرانية بباب خلفي Cookbox.
وفقًا لـ CERT-UA، قام شخص مجهول بتوزيع مستند XLS باسم "1_ф_5.39-2024.xlsm" عبر برنامج Signal messenger بين العديد من الأفراد العسكريين، مدعيًا أن لديه مشكلات في تكوين التقرير. يحتوي الملف المذكور على برنامج نصي إضافي لـ VBA أدى إلى تنزيل وتنفيذ برنامج PowerShell النصي المسمى "mob2002.data".
يُجري البرنامج النصي PowerShell الذي تم تنزيله من GitHub بعض التغييرات في سجل نظام التشغيل. وبشكل أكثر تحديدًا، فإنه يسقط حمولة مشفرة base64 في 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache'، والتي تقوم في النهاية بتنفيذ برنامج Cookbox الضار. Cookbox هو برنامج نصي PowerShell ينفذ وظيفة تنزيل وتنفيذ PowerShell cmdlets.
يتم استخدام خدمات DNS الديناميكية (مثل gotdns.ch وmyftp.biz) وCloudflare Workers لتشغيل خوادم القيادة والتحكم. النشاط الموصوف، والذي تم تتبعه باسم UAC-0149، مستمر منذ خريف عام 2023 على الأقل، وفقًا للبيانات التي كشف عنها الباحثون.
