Carregador IDAT
Els investigadors de ciberseguretat han descobert una campanya d'atac, identificada com una amenaça per a un troià ucraïnès anomenada Remcos RAT, facilitada per un carregador de programari maliciós conegut com IDAT Loader. L'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA), que segueix l'actor de l'amenaça com a UAC-0184 (TA544), ha atribuït l'atac.
L'atac, executat mitjançant l'ús d'IDAT Loader, incorpora l'esteganografia com a tècnica. Tot i que les tècniques esteganogràfiques, o "Stego", són àmpliament reconegudes. Les tècniques esteganogràfiques impliquen ocultar informació dins d'un altre mitjà, com ara amagar dades dins d'imatges, fitxers d'àudio o altres continguts digitals, per permetre una comunicació encoberta sense cridar l'atenció. És crucial comprendre el seu paper a l'hora d'evadir les mesures de defensa.
Taula de continguts
El carregador IDAT facilita el lliurament de càrregues útils de programari maliciós de la següent etapa
L'IDAT Loader, que té similituds amb una altra família de carregadors anomenada Hijack Loader, ha estat desplegant activament diverses càrregues útils, com ara DanaBot , SystemBC i RedLine Stealer, durant diversos mesos. Aquest carregador ha estat emprat per un actor d'amenaça identificat com a TA544 per difondre Remcos RAT i SystemBC mitjançant atacs de pesca.
La campanya de pesca, divulgada inicialment pel CERT-UA a principis de gener de 2024, consisteix a utilitzar esquers de temàtica bèl·lica per iniciar una cadena d'infecció. Aquesta cadena finalment condueix al desplegament del carregador IDAT, que utilitza un PNG esteganogràfic incrustat per localitzar i extreure el RAT Remcos.
El RAT de Remcos es desplega sovint en campanyes cibercriminals
El REMCOS RAT és un troià d'accés remot prevalent que s'utilitza àmpliament tant en esforços cibercriminals com d'espionatge. Conegut per la seva capacitat per prendre el control dels ordinadors, REMCOS pot recopilar pulsacions de tecles, àudio, vídeo, captures de pantalla i dades del sistema alhora que facilita el lliurament de càrregues útils addicionals de programari maliciós. Normalment, aquest programari maliciós es propaga a través de correus electrònics de pesca que contenen fitxers adjunts o enllaços maliciosos, que condueixen a la instal·lació del RAT. En particular, s'ha observat que REMCOS es distribueix per diversos mitjans, inclosos els carregadors de programari maliciós. El programari maliciós s'ha utilitzat de manera maliciosa des de mitjans de la dècada de 2010.
Després de l'execució correcta de REMCOS, els actors de l'amenaça obtenen capacitats de control i vigilància integrals sobre el sistema objectiu. Això els permet exfiltrar clandestinament dades sensibles durant un període prolongat, evitant potencialment la detecció. La utilització d'aquesta informació sensible, depenent de l'objectiu, comporta el risc que les víctimes s'enfrontin al xantatge, la possible pèrdua de feina si es comprometen les dades de l'empresa i el robatori de dades de l'organització. Aquestes dades robades es podrien aprofitar per orquestrar atacs sofisticats a gran escala, donant lloc a danys greus i possiblement irreparables a les organitzacions afectades o als mitjans de vida de les persones.
Ucraïna segueix sent un objectiu d'atacs cibercriminals per part de grups de pirates informàtics alineats amb Rússia
El CERT-UA també ha alertat d'un ciberatac dirigit a infectar els sistemes informàtics utilitzats per les Forces Armades d'Ucraïna amb la porta del darrere Cookbox.
Segons el CERT-UA, una persona no identificada va distribuir un document XLS anomenat "1_ф_5.39-2024.xlsm" a través del missatger de senyal entre diversos militars, afirmant que tenia problemes amb la formació d'informes. L'esmentat fitxer contenia un script VBA addicional que va activar la descàrrega i l'execució d'un script de PowerShell anomenat "mob2002.data".
L'script de PowerShell descarregat de GitHub fa alguns canvis al registre del sistema operatiu. Més concretament, deixa caure una càrrega útil codificada en base64 a "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache", que finalment executa el programari maliciós Cookbox. Cookbox és un script de PowerShell que implementa la funcionalitat per descarregar i executar cmdlets de PowerShell.
Els serveis DNS dinàmics (com ara gotdns.ch, myftp.biz) i els treballadors de Cloudflare s'utilitzen per al funcionament dels servidors de comandament i control. L'activitat descrita, rastrejada com a UAC-0149, ha estat en curs almenys des de la tardor de 2023, segons les dades revelades pels investigadors.
