IDAT Loader

Cybersikkerhedsforskere har opdaget en angrebskampagne, identificeret som en trussel mod en ukrainsk trojaner kaldet Remcos RAT, faciliteret af en malware-loader kendt som IDAT Loader. Ukraines Computer Emergency Response Team (CERT-UA), der sporer trusselsaktøren som UAC-0184 (TA544), har tilskrevet angrebet.

Angrebet, udført ved brug af IDAT Loader, inkorporerer steganografi som en teknik. Selvom steganografiske, eller 'Stego', teknikker er bredt anerkendte. Steganografiske teknikker involverer at skjule information i et andet medie, såsom at skjule data i billeder, lydfiler eller andet digitalt indhold, for at muliggøre skjult kommunikation uden at tiltrække opmærksomhed. Det er afgørende at forstå deres rolle i at undgå forsvarsforanstaltninger.

IDAT Loader letter leveringen af næste trins malware-nyttelast

IDAT Loader, der har ligheder med en anden læsserfamilie ved navn Hijack Loader, har aktivt implementeret forskellige nyttelaster, inklusive DanaBot , SystemBC og RedLine Stealer, over flere måneder. Denne loader er blevet brugt af en trusselsaktør identificeret som TA544 til at udbrede Remcos RAT og SystemBC gennem phishing-angreb.

Phishing-kampagnen, som oprindeligt blev offentliggjort af CERT-UA i begyndelsen af januar 2024, involverer brug af lokkemad med krigstema til at starte en infektionskæde. Denne kæde fører i sidste ende til implementeringen af IDAT Loader, som bruger en indlejret steganografisk PNG til at lokalisere og udtrække Remcos RAT.

Remcos RAT er ofte implementeret i cyberkriminelle kampagner

REMCOS RAT står som en udbredt Remote Access Trojan, der er meget ansat i både cyberkriminelle og spionagebestræbelser. REMCOS, der er kendt for sin evne til at overtage kontrollen over computere, kan indsamle tastetryk, lyd, video, skærmbilleder og systemdata, samtidig med at det letter leveringen af yderligere malware-nyttelast. Typisk spredes denne malware gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links, hvilket fører til installationen af RAT. Det er især blevet observeret, at REMCOS distribueres på forskellige måder, herunder malware-indlæsere. Malwaren er blevet brugt ondsindet siden midten af 2010'erne.

Efter vellykket eksekvering af REMCOS får trusselsaktørerne omfattende kontrol- og overvågningskapaciteter over målsystemet. Dette gør dem i stand til hemmeligt at eksfiltrere følsomme data over en længere periode, hvilket potentielt undgår opdagelse. Anvendelsen af sådanne følsomme oplysninger indebærer, afhængigt af målet, risikoen for, at ofre bliver udsat for afpresning, potentielt jobtab, hvis virksomhedens data kompromitteres, og tyveri af organisationsdata. Disse stjålne data kan derefter udnyttes til at orkestrere store, sofistikerede angreb, hvilket resulterer i alvorlig og muligvis uoprettelig skade på de berørte organisationer eller enkeltpersoners levebrød.

Ukraine er fortsat et mål for cyberkriminelle angreb fra hackergrupper på linje med Rusland

CERT-UA har også advaret om et målrettet cyberangreb, der har til formål at inficere de computersystemer, der bruges af Ukraines væbnede styrker, med Cookbox-bagdøren.

Ifølge CERT-UA distribuerede en uidentificeret person et XLS-dokument med navnet '1_ф_5.39-2024.xlsm' via Signal Messenger blandt flere militærpersoner, der hævdede at have problemer med rapportdannelse. Den nævnte fil indeholdt et ekstra VBA-script, der udløste download og eksekvering af et PowerShell-script ved navn 'mob2002.data.'

PowerShell-scriptet, der er downloadet fra GitHub, foretager nogle ændringer i OS-registreringsdatabasen. Mere specifikt taber den en base64-kodet nyttelast i 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', som i sidste ende udfører Cookbox-malwaren. Cookbox er et PowerShell-script, der implementerer funktionalitet til at downloade og udføre PowerShell-cmdlets.

Dynamiske DNS-tjenester (såsom gotdns.ch, myftp.biz) og Cloudflare Workers bruges til driften af kommando- og kontrolservere. Den beskrevne aktivitet, sporet som UAC-0149, har været i gang siden mindst efteråret 2023, ifølge data afsløret af forskerne.