TransferLoader-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)

Oversæt til:

Sikkerhedsforskere trækker forbindelser mellem de berygtede aktører bag RomCom RAT og en malware-loader kaldet TransferLoader. Denne kampagne, som har målrettet enheder med spionage- og ransomware-angreb, fremhæver sofistikerede teknikker og overlappende infrastrukturer, der kræver nøje kontrol.

Indholdsfortegnelse

To trusselsklynger: TA829 og UNK_GreenSec

Cybersikkerhedsforskere har tilskrevet TransferLoader-relateret aktivitet til to primære trusselsaktørgrupper:

TA829, også sporet under aliasser som RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 og Void Rabisu.
UNK_GreenSec, en mindre kendt klynge, der opererer parallelt med lignende taktikker.

TA829 er særligt kendt for sine hybridoperationer, der kombinerer spionage og økonomisk motiverede angreb. Denne gruppe med tilknytning til Rusland har tidligere udnyttet zero-day-sårbarheder i Mozilla Firefox og Microsoft Windows til at implementere RomCom RAT, der er rettet mod globale organisationer med høj værdi.

TransferLoader: Fremkomst og rolle i malwarekampagner

TransferLoader blev først identificeret i februar 2025 under en kampagne, der involverede Morpheus ransomware, en rebrandet version af HellCat ransomware. Malwaren blev brugt mod et unavngivet amerikansk advokatfirma. I modsætning til RomCom fungerer TransferLoader primært som en skjult leveringsmekanisme, der muliggør implementering af yderligere ondsindede nyttelast som Metasploit og Morpheus.

TransferLoaders mission er enkel: at forblive uopdaget og levere yderligere malware.

Udnyttelse af REM Proxy-infrastruktur

Både TA829 og UNK_GreenSec er afhængige af REM Proxy-tjenester, som ofte hostes på kompromitterede MikroTik-routere. Disse proxyer bruges til at dirigere ondsindet trafik og skjule dens sande oprindelse. Grupperne bruger denne infrastruktur til at:

Send phishing-e-mails via gratis mail-tjenester (f.eks. Gmail, ukr.net)
Relætrafik for at skjule upstream-aktivitet
Start kampagner ved hjælp af både nyoprettede og kompromitterede e-mailkonti

Forskere mistænker brugen af e-mail-værktøjer, der massegenererer afsenderadresser som ximajazehox333@gmail.com og hannahsilva1978@ukr.net, til phishing-distribution.

Phishing-mekanik og levering af nyttelast

Phishing-beskeder, der sendes af begge klynger, indeholder ofte links indlejret i e-mailens brødtekst eller PDF-vedhæftninger. Ofre, der klikker på disse links, udsættes for en række omdirigeringer via Rebrandly, som i sidste ende lander på forfalskede Google Drive- eller Microsoft OneDrive-sider. Disse omdirigeringer omfatter mekanismer til at:

Omgå sandkassemiljøer
Filtrer systemer, der ikke er af interesse
Lever forskellige endelige nyttelaster afhængigt af trusselsgruppen

Divergerende angrebsstier :

UNK_GreenSec bruger denne rute til at implementere TransferLoader
TA829 omdirigerer mål til SlipScreen-malware

Delte værktøjer og infrastruktur

Begge aktørgrupper demonstrerer overlappende værktøjssæt og infrastrukturvalg:

Brug af PuTTYs PLINK-værktøj til etablering af SSH-tunneler
Hosting af skadelige værktøjer på IPFS-tjenester (InterPlanetary File System)
Udnyttelse af dynamiske PHP-baserede omdirigeringsendepunkter til trafikfiltrering

Disse fælles metoder antyder mulig koordinering eller gensidig anvendelse af effektive taktikker.

Social Engineering-temaer og leveringstaktikker

Kampagner, der involverer TransferLoader, forklæder sig ofte som jobopslagsmails og lokker ofrene med links, der hævder at føre til PDF-CV'er. I virkeligheden udløser linket en download af TransferLoader, der hostes på IPFS-webshares.

Vigtige tekniske højdepunkter i TransferLoader-drift

Undgår detektion – Bruger omdirigering, filtrering og decentraliseret hosting til at omgå traditionelle forsvar.

Payload Delivery – Fungerer som en loader for mere farlig malware, herunder ransomware og værktøjer til fjernadgang.

Differentierede teknikker – Anvender unikke omdirigeringsstrukturer (JavaScript til PHP-slutpunkter) til at understøtte dynamisk indholdslevering.

Konklusion: Forståelse af TransferLoader-truslen

TransferLoader repræsenterer en betydelig trussel som en skjult indlæser, der er i stand til at muliggøre angreb med stor effekt. Brugen af den af både UNK_GreenSec og TA829 illustrerer, hvordan cyberkriminelle grupper fortsætter med at innovere, dele værktøjer og udnytte decentraliseret infrastruktur for at undgå opdagelse og nå deres mål.

Indikatorer for TransferLoader-truslen inkluderer:

Brug af REM Proxy-tjenester
E-mails lokker med henvisning til jobansøgninger eller CV'er
Omdiriger kæder, der involverer Rebrandly-links
Nyttelaster hostet på IPFS-baserede platforme

Organisationer skal forblive årvågne, implementere robust e-mail- og webfiltrering og løbende overvåge unormal netværksadfærd forbundet med disse taktikker.

EnigmaSofts betalingsprocessor Digital River GmbH, der indgiver konkursbegæring, påvirker ikke SpyHunter-kunders anti-malware-beskyttelse

Søg

Skift region

TransferLoader-malware

To trusselsklynger: TA829 og UNK_GreenSec

TransferLoader: Fremkomst og rolle i malwarekampagner

Udnyttelse af REM Proxy-infrastruktur

Phishing-mekanik og levering af nyttelast

Delte værktøjer og infrastruktur

Social Engineering-temaer og leveringstaktikker

Vigtige tekniske højdepunkter i TransferLoader-drift

Konklusion: Forståelse af TransferLoader-truslen

Tilføj kommentar

Trending

Dersinstion.com

Scanandclean.xyz

SafeWatch

Mest sete

Sådan løses 'Fejl ved' Printerdriver er ikke...

Discord viser sort skærm, når skærmdeles

Uenighed sidder fast på grå skærm