Zavaděč IDAT
Výzkumníci v oblasti kybernetické bezpečnosti objevili útočnou kampaň označenou jako hrozbu pro ukrajinského trojského koně nazvanou Remcos RAT, kterou usnadnil zavaděč malwaru známý jako IDAT Loader. Ukrajinský tým pro počítačovou nouzovou reakci (CERT-UA), sledující aktéra hrozby jako UAC-0184 (TA544), připsal útok.
Útok, provedený pomocí IDAT Loader, zahrnuje steganografii jako techniku. Ačkoli steganografické nebo „Stego“ techniky jsou široce uznávány. Steganografické techniky zahrnují skrývání informací na jiném médiu, jako je skrývání dat v obrázcích, zvukových souborech nebo jiném digitálním obsahu, aby se umožnila skrytá komunikace bez přitahování pozornosti. Je zásadní pochopit jejich roli při obcházení obranných opatření.
Obsah
Zavaděč IDAT usnadňuje doručování datových částí malwaru v další fázi
IDAT Loader, který je podobný jiné rodině nakladačů s názvem Hijack Loader, již několik měsíců aktivně nasazuje různé užitečné zatížení, včetně DanaBot , SystemBC a RedLine Stealer . Tento zavaděč byl zaměstnán aktérem hrozby identifikovaným jako TA544 k šíření Remcos RAT a SystemBC prostřednictvím phishingových útoků.
Phishingová kampaň, kterou CERT-UA původně odhalila na začátku ledna 2024, zahrnuje použití návnad s válečnou tématikou k zahájení infekčního řetězce. Tento řetězec nakonec vede k nasazení IDAT Loader, který využívá vestavěný steganografický PNG k nalezení a extrakci Remcos RAT.
Remcos RAT je často nasazován v kyberzločineckých kampaních
REMCOS RAT představuje převládající trojský kůň pro vzdálený přístup, který je široce využíván jak v kyberzločincích, tak ve špionážních snahách. REMCOS, známý pro svou schopnost převzít kontrolu nad počítači, dokáže shromažďovat stisknuté klávesy, zvuk, video, snímky obrazovky a systémová data a zároveň usnadňovat dodávání dalšího užitečného obsahu malwaru. Tento malware se obvykle šíří prostřednictvím phishingových e-mailů obsahujících škodlivé přílohy nebo odkazy, což vede k instalaci RAT. Pozoruhodně bylo pozorováno, že REMCOS je distribuován různými prostředky, včetně zavaděčů malwaru. Malware byl škodlivě využíván od poloviny roku 2010.
Po úspěšném provedení REMCOS získají aktéři hrozeb komplexní možnosti kontroly a dohledu nad cílovým systémem. To jim umožňuje tajně exfiltrovat citlivá data po delší dobu a potenciálně se tak vyhnout detekci. Využití takových citlivých informací v závislosti na cíli s sebou nese riziko, že oběti budou čelit vydírání, potenciální ztrátě zaměstnání v případě kompromitace firemních dat a krádeži organizačních dat. Tato ukradená data by pak mohla být zneužita k organizování rozsáhlých, sofistikovaných útoků, což by mělo za následek vážné a možná nenapravitelné poškození postižených organizací nebo živobytí jednotlivců.
Ukrajina zůstává terčem kyberzločineckých útoků ze strany hackerských skupin spojených s Ruskem
CERT-UA také varoval před cíleným kybernetickým útokem zaměřeným na infikování počítačových systémů používaných ukrajinskými ozbrojenými silami pomocí backdoor Cookbox.
Podle CERT-UA neidentifikovaný jednotlivec distribuoval dokument XLS s názvem '1_ф_5.39-2024.xlsm' prostřednictvím posla signálu mezi několik vojenských pracovníků, přičemž tvrdil, že má problémy s vytvářením hlášení. Uvedený soubor obsahoval další skript VBA, který spustil stažení a spuštění skriptu PowerShell s názvem „mob2002.data“.
Skript PowerShell stažený z GitHubu provádí některé změny v registru operačního systému. Přesněji řečeno, sníží užitečné zatížení zakódované v base64 v 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', které nakonec spustí malware Cookbox. Cookbox je skript prostředí PowerShell, který implementuje funkce pro stahování a spouštění rutin prostředí PowerShell.
Dynamické DNS služby (jako je gotdns.ch, myftp.biz) a Cloudflare Workers se využívají pro provoz příkazových a řídicích serverů. Popsaná aktivita, sledovaná jako UAC-0149, probíhá minimálně od podzimu 2023, podle údajů odhalených výzkumníky.
