IDAT Loader
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια εκστρατεία επίθεσης, η οποία προσδιορίζεται ως απειλή για έναν ουκρανικό Trojan που ονομάζεται Remcos RAT, που διευκολύνεται από έναν φορτωτή κακόβουλου λογισμικού γνωστό ως IDAT Loader. Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA), που παρακολουθεί τον παράγοντα απειλής ως UAC-0184 (TA544), απέδωσε την επίθεση.
Η επίθεση, που εκτελείται με τη χρήση του IDAT Loader, ενσωματώνει τη στεγανογραφία ως τεχνική. Αν και οι στεγανογραφικές ή «Stego» τεχνικές είναι ευρέως αναγνωρισμένες. Οι στεγανογραφικές τεχνικές περιλαμβάνουν την απόκρυψη πληροφοριών σε άλλο μέσο, όπως η απόκρυψη δεδομένων μέσα σε εικόνες, αρχεία ήχου ή άλλο ψηφιακό περιεχόμενο, για να καταστεί δυνατή η συγκαλυμμένη επικοινωνία χωρίς να τραβήξει την προσοχή. Είναι σημαντικό να κατανοήσουμε τον ρόλο τους στην αποφυγή των αμυντικών μέτρων.
Πίνακας περιεχομένων
Το IDAT Loader διευκολύνει την παράδοση ωφέλιμων φορτίων κακόβουλου λογισμικού επόμενου σταδίου
Το IDAT Loader, που έχει ομοιότητες με μια άλλη οικογένεια φορτωτών που ονομάζεται Hijack Loader, έχει αναπτύξει ενεργά διάφορα ωφέλιμα φορτία, συμπεριλαμβανομένων των DanaBot , SystemBC και του RedLine Stealer, εδώ και αρκετούς μήνες. Αυτός ο φορτωτής έχει χρησιμοποιηθεί από έναν παράγοντα απειλής που προσδιορίζεται ως TA544 για τη διάδοση του Remcos RAT και του SystemBC μέσω επιθέσεων phishing.
Η εκστρατεία phishing, που αποκαλύφθηκε αρχικά από το CERT-UA στις αρχές Ιανουαρίου 2024, περιλαμβάνει τη χρήση δολωμάτων με θέμα τον πόλεμο για την έναρξη μιας αλυσίδας μόλυνσης. Αυτή η αλυσίδα οδηγεί τελικά στην ανάπτυξη του IDAT Loader, ο οποίος χρησιμοποιεί ένα ενσωματωμένο steganographic PNG για τον εντοπισμό και την εξαγωγή του Remcos RAT.
Το Remcos RAT αναπτύσσεται συχνά σε καμπάνιες κυβερνοεγκληματικότητας
Το REMCOS RAT είναι ένας διαδεδομένος Trojan Απομακρυσμένης Πρόσβασης που χρησιμοποιείται εκτενώς τόσο σε εγκληματικές ενέργειες στον κυβερνοχώρο όσο και σε προσπάθειες κατασκοπείας. Γνωστό για την ικανότητά του να αποκτά τον έλεγχο των υπολογιστών, το REMCOS μπορεί να συλλέξει πληκτρολογήσεις, ήχο, βίντεο, στιγμιότυπα οθόνης και δεδομένα συστήματος ενώ παράλληλα διευκολύνει την παράδοση πρόσθετων ωφέλιμων φορτίων κακόβουλου λογισμικού. Συνήθως, αυτό το κακόβουλο λογισμικό διαδίδεται μέσω email ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους, οδηγώντας στην εγκατάσταση του RAT. Σημειωτέον, το REMCOS έχει παρατηρηθεί ότι διανέμεται με διάφορα μέσα, συμπεριλαμβανομένων των φορτωτών κακόβουλου λογισμικού. Το κακόβουλο λογισμικό έχει χρησιμοποιηθεί κακόβουλα από τα μέσα της δεκαετίας του 2010.
Με την επιτυχή εκτέλεση του REMCOS, οι φορείς απειλής αποκτούν ολοκληρωμένες δυνατότητες ελέγχου και επιτήρησης του συστήματος στόχου. Αυτό τους δίνει τη δυνατότητα να διεισδύουν λαθραία ευαίσθητα δεδομένα για μεγάλο χρονικό διάστημα, αποφεύγοντας ενδεχομένως τον εντοπισμό. Η χρήση τέτοιων ευαίσθητων πληροφοριών, ανάλογα με τον στόχο, ενέχει τον κίνδυνο να αντιμετωπίσουν τα θύματα εκβιασμό, πιθανή απώλεια θέσεων εργασίας σε περίπτωση παραβίασης των δεδομένων της εταιρείας και κλοπή οργανωτικών δεδομένων. Αυτά τα κλοπιμαία δεδομένα θα μπορούσαν στη συνέχεια να αξιοποιηθούν για να ενορχηστρωθούν μεγάλης κλίμακας, εξελιγμένες επιθέσεις, με αποτέλεσμα σοβαρή και πιθανώς ανεπανόρθωτη βλάβη στους πληγέντες οργανισμούς ή τα μέσα διαβίωσης των ατόμων.
Η Ουκρανία παραμένει στόχος κυβερνοεγκληματικών επιθέσεων από ομάδες χάκερ που ευθυγραμμίζονται με τη Ρωσία
Το CERT-UA έχει επίσης προειδοποιήσει για μια στοχευμένη κυβερνοεπίθεση με στόχο να μολύνει τα συστήματα υπολογιστών που χρησιμοποιούνται από τις Ένοπλες Δυνάμεις της Ουκρανίας με την κερκόπορτα Cookbox.
Σύμφωνα με το CERT-UA, ένα άγνωστο άτομο διένειμε ένα έγγραφο XLS με το όνομα «1_ф_5.39-2024.xlsm» μέσω του αγγελιοφόρου Signal μεταξύ πολλών στρατιωτικών, ισχυριζόμενος ότι είχε προβλήματα με το σχηματισμό αναφοράς. Το εν λόγω αρχείο περιείχε μια πρόσθετη δέσμη ενεργειών VBA που ενεργοποίησε τη λήψη και την εκτέλεση μιας δέσμης ενεργειών PowerShell με το όνομα "mob2002.data".
Το σενάριο PowerShell που λήφθηκε από το GitHub κάνει κάποιες αλλαγές στο μητρώο του λειτουργικού συστήματος. Πιο συγκεκριμένα, ρίχνει ένα ωφέλιμο φορτίο με κωδικοποίηση base64 στο 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', το οποίο τελικά εκτελεί το κακόβουλο λογισμικό Cookbox. Το Cookbox είναι μια δέσμη ενεργειών PowerShell που υλοποιεί λειτουργικότητα για λήψη και εκτέλεση cmdlet PowerShell.
Οι υπηρεσίες Dynamic DNS (όπως gotdns.ch, myftp.biz) και Cloudflare Workers χρησιμοποιούνται για τη λειτουργία διακομιστών εντολών και ελέγχου. Η περιγραφόμενη δραστηριότητα, η οποία παρακολουθείται ως UAC-0149, βρίσκεται σε εξέλιξη τουλάχιστον από το φθινόπωρο του 2023, σύμφωνα με τα στοιχεία που αποκάλυψαν οι ερευνητές.
