IDAT Loader
Изследователите на киберсигурността са открили кампания за атака, идентифицирана като заплаха за украински троянски кон, наречен Remcos RAT, улеснена от зареждащ зловреден софтуер, известен като IDAT Loader. Екипът за компютърно реагиране при извънредни ситуации на Украйна (CERT-UA), който проследява заплахата като UAC-0184 (TA544), приписва атаката.
Атаката, изпълнена чрез използването на IDAT Loader, включва стеганография като техника. Въпреки че стеганографските или „стего“ техники са широко признати. Стеганографските техники включват прикриване на информация в друг носител, като скриване на данни в изображения, аудио файлове или друго цифрово съдържание, за да се даде възможност за скрита комуникация, без да се привлича внимание. От решаващо значение е да се разбере тяхната роля в избягването на защитните мерки.
Съдържание
IDAT Loader улеснява доставката на полезни товари за злонамерен софтуер от следващ етап
IDAT Loader, който има прилики с друго семейство зареждащи устройства, наречено Hijack Loader, активно внедрява различни полезни натоварвания, включително DanaBot , SystemBC и RedLine Stealer, в продължение на няколко месеца. Това зареждане е използвано от заплаха, идентифицирана като TA544, за разпространение на Remcos RAT и SystemBC чрез фишинг атаки.
Фишинг кампанията, първоначално разкрита от CERT-UA в началото на януари 2024 г., включва използване на примамки на тема война за иницииране на верига за заразяване. Тази верига в крайна сметка води до внедряването на IDAT Loader, който използва вграден стеганографски PNG за локализиране и извличане на Remcos RAT.
Remcos RAT често се използва в киберпрестъпни кампании
REMCOS RAT е преобладаващ троянски кон за отдалечен достъп, използван широко както в киберпрестъпни, така и в шпионски дейности. Известен със способността си да контролира компютрите, REMCOS може да събира натискания на клавиши, аудио, видео, екранни снимки и системни данни, като същевременно улеснява доставянето на допълнителен полезен товар от зловреден софтуер. Обикновено този злонамерен софтуер се разпространява чрез фишинг имейли, съдържащи злонамерени прикачени файлове или връзки, което води до инсталирането на RAT. За отбелязване е, че REMCOS се разпространява чрез различни средства, включително програми за зареждане на зловреден софтуер. Зловреден софтуер се използва злонамерено от средата на 2010 г.
При успешно изпълнение на REMCOS, участниците в заплахата получават всеобхватни възможности за контрол и наблюдение над целевата система. Това им позволява тайно да ексфилтрират чувствителни данни за продължителен период от време, потенциално избягвайки откриването. Използването на такава чувствителна информация, в зависимост от целта, носи риск жертвите да бъдат изправени пред изнудване, потенциална загуба на работа, ако фирмените данни са компрометирани, и кражба на организационни данни. След това тези откраднати данни могат да бъдат използвани за организиране на широкомащабни, сложни атаки, водещи до тежки и евентуално непоправими вреди на засегнатите организации или поминъка на хората.
Украйна остава мишена на киберпрестъпни атаки от хакерски групи, свързани с Русия
CERT-UA също така предупреди за целенасочена кибератака, насочена към заразяване на компютърните системи, използвани от въоръжените сили на Украйна, със задна вратичка Cookbox.
Според CERT-UA, неидентифицирано лице е разпространило XLS документ с име '1_ф_5.39-2024.xlsm' чрез месинджъра на Signal сред няколко военни, твърдейки, че има проблеми с формирането на доклада. Споменатият файл съдържаше допълнителен VBA скрипт, който задейства изтеглянето и изпълнението на PowerShell скрипт с име „mob2002.data“.
Скриптът PowerShell, изтеглен от GitHub, прави някои промени в системния регистър на операционната система. По-конкретно, той изпуска полезен товар, кодиран с base64, в „HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache“, което в крайна сметка изпълнява злонамерения софтуер Cookbox. Cookbox е скрипт на PowerShell, който реализира функционалност за изтегляне и изпълнение на кратки команди на PowerShell.
Динамичните DNS услуги (като gotdns.ch, myftp.biz) и Cloudflare Workers се използват за работата на командни и контролни сървъри. Описаната дейност, проследявана като UAC-0149, продължава поне от есента на 2023 г., според данните, разкрити от изследователите.
