Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware TransferLoaderu

Malware TransferLoaderu

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Bezpečnostní výzkumníci nacházejí souvislosti mezi nechvalně známými aktéry stojícími za kampaní RomCom RAT a malwarem s názvem TransferLoader. Tato kampaň, která se zaměřila na subjekty pomocí špionážních a ransomwarových útoků, zdůrazňuje sofistikované techniky a překrývající se infrastruktury, které vyžadují pečlivé zkoumání.

Dva klastry aktérů hrozeb: TA829 a UNK_GreenSec

Výzkumníci v oblasti kybernetické bezpečnosti připisují aktivity související s TransferLoader dvěma hlavním skupinám hrozeb:

  • TA829, sledován také pod aliasy jako RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 a Void Rabisu.
  • UNK_GreenSec, méně známý klastr operující paralelně s podobnými taktikami.

TA829 je obzvláště pozoruhodná svými hybridními operacemi, kombinujícími špionáž a finančně motivované útoky. Tato skupina napojená na Rusko již dříve využila zranitelnosti typu zero-day v prohlížečích Mozilla Firefox a Microsoft Windows k nasazení útoku RomCom RAT, zaměřeného na vysoce hodnotné globální organizace.

TransferLoader: Vznik a role v malwarových kampaních

TransferLoader byl poprvé identifikován v únoru 2025 během kampaně zahrnující ransomware Morpheus, přejmenovanou verzi ransomwaru HellCat. Malware byl použit proti nejmenované americké právnické firmě. Na rozdíl od RomCom slouží TransferLoader primárně jako nenápadný mechanismus pro doručování, který umožňuje nasazení dalších škodlivých dat, jako jsou Metasploit a Morpheus.

Posláním TransferLoaderu je jednoduché: zůstat nedetekován a šířit další malware.

Využití infrastruktury REM proxy

TA829 i UNK_GreenSec se spoléhají na služby REM Proxy, které jsou často hostovány na kompromitovaných routerech MikroTik. Tyto proxy se používají ke směrování škodlivého provozu a maskování jeho skutečného původu. Skupiny tuto infrastrukturu využívají k:

  • Odesílejte phishingové e-maily prostřednictvím bezplatných e-mailových služeb (např. Gmail, ukr.net)
  • Reléový provoz pro skrytí aktivity proti proudu
  • Spouštějte kampaně s využitím nově vytvořených i napadených e-mailových účtů

Výzkumníci mají podezření, že k phishingové distribuci se používají nástroje pro tvorbu e-mailů, které hromadně generují adresy odesílatelů, jako jsou ximajazehox333@gmail.com a hannahsilva1978@ukr.net.

Mechanika phishingu a doručování obsahu

Phishingové zprávy odesílané oběma klastry často obsahují odkazy vložené do těla e-mailu nebo příloh PDF. Oběti, které na tyto odkazy kliknou, jsou vystaveny řetězci přesměrování prostřednictvím Rebrandly a nakonec přistanou na falešných stránkách Disku Google nebo Microsoft OneDrive. Tato přesměrování zahrnují mechanismy pro:

  • Obejít sandboxová prostředí
  • Odfiltrujte systémy, které vás nezajímají
  • Dodávejte různé konečné užitečné zatížení v závislosti na skupině hrozeb

Rozdílné útočné cesty :

  • UNK_GreenSec používá tuto trasu k nasazení TransferLoaderu.
  • TA829 přesměrovává cíle na malware SlipScreen

Sdílené nástroje a infrastruktura

Obě skupiny aktérů vykazují překrývající se sady nástrojů a volby infrastruktury:

  • Použití utility PLINK v PuTTY pro vytváření SSH tunelů
  • Hostování škodlivých utilit na službách IPFS (InterPlanetary File System)
  • Využití dynamických koncových bodů přesměrování založených na PHP pro filtrování provozu

Tyto sdílené metody naznačují možnou koordinaci nebo vzájemné přijetí účinných taktik.

Témata a taktiky sociálního inženýrství

Kampaně zahrnující TransferLoader se často maskují jako e-maily s nabídkami práce a lákají oběti odkazy, které údajně vedou na životopisy ve formátu PDF. Ve skutečnosti odkaz spustí stažení TransferLoaderu hostovaného na webových sdíleních IPFS.

Klíčové technické aspekty operací TransferLoader

Vyhýbá se detekci – Používá přesměrování, filtrování a decentralizovaný hosting k obcházení tradičních obranných mechanismů.

Doručování dat – Funguje jako zavaděč pro nebezpečnější malware, včetně ransomwaru a nástrojů pro vzdálený přístup.

Diferencované techniky – Využívá unikátní struktury přesměrování (koncové body JavaScriptu do PHP) pro podporu dynamického doručování obsahu.

Závěr: Pochopení hrozby TransferLoader

TransferLoader představuje významnou hrozbu jako nenápadný zavaděč schopný provádět útoky s vysokým dopadem. Jeho použití skupinami UNK_GreenSec a TA829 ilustruje, jak kyberzločinecké skupiny neustále inovují, sdílejí nástroje a zneužívají decentralizovanou infrastrukturu, aby se vyhnuly odhalení a dosáhly svých cílů.

Mezi indikátory hrozby TransferLoader patří:

  • Používání služeb REM Proxy
  • E-mailové lákadla s odkazy na žádosti o zaměstnání nebo životopisy
  • Řetězce přesměrování zahrnující odkazy Rebrandly
  • Datové části hostované na platformách založených na IPFS

Organizace musí zůstat ostražité, zavést robustní filtrování e-mailů a webu a průběžně monitorovat abnormální chování sítě spojené s těmito taktikami.

Trendy

Nejvíce shlédnuto

Načítání...