Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер TransferLoader

Зловреден софтуер TransferLoader

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователите по сигурността правят връзки между известните участници зад RomCom RAT и програма за зареждане на зловреден софтуер, наречена TransferLoader. Тази кампания, насочена към организации с шпионски и рансъмуер атаки, подчертава сложни техники и припокриващи се инфраструктури, които изискват внимателно наблюдение.

Два клъстера от заплашителни актьори: TA829 и UNK_GreenSec

Изследователите по киберсигурност приписват активността, свързана с TransferLoader, на две основни групи злонамерени лица:

  • TA829, проследяван също под псевдоними като RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 и Void Rabisu.
  • UNK_GreenSec, по-малко известен клъстер, действащ паралелно с подобни тактики.

TA829 е особено забележителна със своите хибридни операции, съчетаващи шпионаж и финансово мотивирани атаки. Тази свързана с Русия група вече е използвала уязвимости от типа „нулев ден“ в Mozilla Firefox и Microsoft Windows, за да внедри RomCom RAT, насочена към високодоходни глобални организации.

TransferLoader: Поява и роля в кампаниите за зловреден софтуер

TransferLoader беше идентифициран за първи път през февруари 2025 г. по време на кампания, включваща рансъмуер вируса Morpheus, ребрендирана версия на рансъмуер вируса HellCat. Зловредният софтуер беше използван срещу неназована адвокатска кантора, базирана в САЩ. За разлика от RomCom, TransferLoader служи предимно като скрит механизъм за доставка, позволяващ разполагането на допълнителни злонамерени полезни товари като Metasploit и Morpheus.

Мисията на TransferLoader е проста: да остане незабелязан и да разпространява допълнителен зловреден софтуер.

Използване на REM прокси инфраструктура

Както TA829, така и UNK_GreenSec разчитат на REM Proxy услуги, които често се хостват на компрометирани MikroTik рутери. Тези прокси се използват за маршрутизиране на злонамерен трафик, прикривайки истинския му произход. Групите използват тази инфраструктура за:

  • Изпращайте фишинг имейли чрез безплатни пощенски услуги (напр. Gmail, ukr.net)
  • Препредаване на трафик, за да се скрие активността нагоре по веригата
  • Стартирайте кампании, използвайки както новосъздадени, така и компрометирани имейл акаунти

Изследователите подозират използването на инструменти за създаване на имейли, които масово генерират адреси на податели, като ximajazehox333@gmail.com и hannahsilva1978@ukr.net, за разпространение на фишинг.

Механика на фишинг и доставка на полезен товар

Фишинг съобщенията, изпращани от двата клъстера, често съдържат връзки, вградени в тялото на имейла или в прикачени PDF файлове. Жертвите, които кликват върху тези връзки, са подложени на верига от пренасочвания чрез Rebrandly, като в крайна сметка попадат на фалшиви страници в Google Drive или Microsoft OneDrive. Тези пренасочвания включват механизми за:

  • Заобикаляне на пясъчните среди
  • Филтрирайте системите, които не ви интересуват
  • Доставяне на различни крайни полезни товари в зависимост от групата заплахи

Различни пътища на атака :

  • UNK_GreenSec използва този маршрут за внедряване на TransferLoader
  • TA829 пренасочва целите към зловредния софтуер SlipScreen

Споделени инструменти и инфраструктура

И двете групи участници демонстрират припокриващи се набори от инструменти и избор на инфраструктура:

  • Използване на помощната програма PLINK на PuTTY за създаване на SSH тунели
  • Хостинг на злонамерени помощни програми в услугите на IPFS (InterPlanetary File System)
  • Използване на динамични крайни точки за пренасочване, базирани на PHP, за филтриране на трафика

Тези споделени методи предполагат възможна координация или взаимно приемане на ефективни тактики.

Теми и тактики за социално инженерство

Кампаниите, включващи TransferLoader, често се маскират като имейли с предложения за работа, примамвайки жертвите с връзки, които твърдят, че водят към PDF автобиографии. В действителност връзката задейства изтегляне на TransferLoader, хостван на IPFS уеб споделяния.

Ключови технически акценти на операциите с TransferLoader

Избягва откриването – Използва пренасочване, филтриране и децентрализиран хостинг, за да заобиколи традиционните защити.

Доставка на полезен товар – Действа като зареждащ механизъм за по-опасен зловреден софтуер, включително ransomware и инструменти за отдалечен достъп.

Диференцирани техники – Използва уникални структури за пренасочване (крайни точки от JavaScript към PHP), за да поддържа динамично доставяне на съдържание.

Заключение: Разбиране на заплахата TransferLoader

TransferLoader представлява сериозна заплаха като скрит зареждащ програмен продукт, способен да позволи атаки с голямо въздействие. Използването му както от UNK_GreenSec, така и от TA829, илюстрира как киберпрестъпните групи продължават да внедряват иновации, да споделят инструменти и да експлоатират децентрализирана инфраструктура, за да избегнат откриване и да постигнат целите си.

Индикаторите за заплахата TransferLoader включват:

  • Използване на услугите на REM Proxy
  • Примамливи имейли с препратки към кандидатури за работа или автобиографии
  • Вериги за пренасочване, включващи връзки към Rebrandly
  • Полезни товари, хоствани на платформи, базирани на IPFS

Организациите трябва да останат бдителни, да внедрят надеждно филтриране на имейли и уеб сървъри и непрекъснато да наблюдават за необичайно поведение на мрежата, свързано с тези тактики.

Тенденция

Dersinstion.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Дори едно невнимателно кликване може да отвори вратите за заплахи за сигурността. Измамниците непрекъснато усъвършенстват тактики, за да заблуждават потребителите, превръщайки невинното сърфиране в...

Най-гледан

Зареждане...