Κακόβουλο λογισμικό TransferLoader
Οι ερευνητές ασφαλείας αναζητούν συνδέσεις μεταξύ των διαβόητων παραγόντων πίσω από το RomCom RAT και ενός malware loader με την ονομασία TransferLoader. Αυτή η εκστρατεία, η οποία έχει στοχεύσει οντότητες με επιθέσεις κατασκοπείας και ransomware, αναδεικνύει εξελιγμένες τεχνικές και επικαλυπτόμενες υποδομές που απαιτούν στενό έλεγχο.
Πίνακας περιεχομένων
Δύο ομάδες απειλητικών παραγόντων: TA829 και UNK_GreenSec
Οι ερευνητές κυβερνοασφάλειας έχουν αποδώσει τη δραστηριότητα που σχετίζεται με το TransferLoader σε δύο κύριες ομάδες απειλητικών παραγόντων:
- TA829, που παρακολουθείται επίσης με ψευδώνυμα όπως RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 και Void Rabisu.
- UNK_GreenSec, ένα λιγότερο γνωστό σύμπλεγμα που λειτουργεί παράλληλα με παρόμοιες τακτικές.
Το TA829 είναι ιδιαίτερα αξιοσημείωτο για τις υβριδικές του δραστηριότητες, συνδυάζοντας κατασκοπεία και επιθέσεις με οικονομικά κίνητρα. Αυτή η ομάδα που συνδέεται με τη Ρωσία έχει στο παρελθόν αξιοποιήσει ευπάθειες zero-day στο Mozilla Firefox και τα Microsoft Windows για να αναπτύξει το RomCom RAT, στοχεύοντας σε παγκόσμιους οργανισμούς υψηλής αξίας.
TransferLoader: Εμφάνιση και ρόλος σε καμπάνιες κακόβουλου λογισμικού
Το TransferLoader εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2025 κατά τη διάρκεια μιας εκστρατείας που αφορούσε το Morpheus ransomware, μια μετονομασμένη έκδοση του HellCat ransomware. Το κακόβουλο λογισμικό χρησιμοποιήθηκε εναντίον μιας ανώνυμης δικηγορικής εταιρείας με έδρα τις ΗΠΑ. Σε αντίθεση με το RomCom, το TransferLoader χρησιμεύει κυρίως ως ένας κρυφός μηχανισμός παράδοσης, επιτρέποντας την ανάπτυξη πρόσθετων κακόβουλων φορτίων όπως το Metasploit και το Morpheus.
Η αποστολή του TransferLoader είναι απλή: να παραμένει απαρατήρητος και να παρέχει περαιτέρω κακόβουλο λογισμικό.
Αξιοποίηση της υποδομής διακομιστή μεσολάβησης REM
Τόσο το TA829 όσο και το UNK_GreenSec βασίζονται σε υπηρεσίες REM Proxy, οι οποίες συχνά φιλοξενούνται σε παραβιασμένους δρομολογητές MikroTik. Αυτοί οι proxy χρησιμοποιούνται για τη δρομολόγηση κακόβουλης κίνησης, συγκαλύπτοντας την πραγματική της προέλευση. Οι ομάδες χρησιμοποιούν αυτήν την υποδομή για να:
- Αποστολή email ηλεκτρονικού "ψαρέματος" (phishing) μέσω δωρεάν υπηρεσιών ηλεκτρονικού ταχυδρομείου (π.χ. Gmail, ukr.net)
- Αναμετάδοση κυκλοφορίας για απόκρυψη δραστηριότητας ανάντη
- Ξεκινήστε καμπάνιες χρησιμοποιώντας τόσο νέους λογαριασμούς email όσο και παραβιασμένους λογαριασμούς email
Οι ερευνητές υποψιάζονται ότι τα εργαλεία δημιουργίας email που δημιουργούν μαζικά διευθύνσεις αποστολέα, όπως οι ximajazehox333@gmail.com και hannahsilva1978@ukr.net, χρησιμοποιούνται για τη διανομή ηλεκτρονικού "ψαρέματος" (phishing).
Μηχανισμοί ηλεκτρονικού “ψαρέματος” (phishing) και παράδοσης ωφέλιμου φορτίου
Τα μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που αποστέλλονται και από τα δύο clusters συχνά περιέχουν συνδέσμους ενσωματωμένους στο σώμα του email ή σε συνημμένα PDF. Τα θύματα που κάνουν κλικ σε αυτούς τους συνδέσμους υπόκεινται σε μια αλυσίδα ανακατευθύνσεων μέσω του Rebrandly, οι οποίες τελικά καταλήγουν σε πλαστογραφημένες σελίδες του Google Drive ή του Microsoft OneDrive. Αυτές οι ανακατευθύνσεις περιλαμβάνουν μηχανισμούς για:
- Παράκαμψη περιβαλλόντων sandbox
- Φιλτράρισμα συστημάτων που δεν σας ενδιαφέρουν
- Παράδοση διαφορετικών τελικών ωφέλιμων φορτίων ανάλογα με την ομάδα απειλών
Αποκλίνουσες Διαδρομές Επίθεσης :
- Το UNK_GreenSec χρησιμοποιεί αυτήν τη διαδρομή για την ανάπτυξη του TransferLoader
- Το TA829 ανακατευθύνει τους στόχους στο κακόβουλο λογισμικό SlipScreen
Κοινόχρηστα εργαλεία και υποδομή
Και οι δύο ομάδες δρώντων επιδεικνύουν αλληλεπικαλυπτόμενα σύνολα εργαλείων και επιλογές υποδομής:
- Χρήση του βοηθητικού προγράμματος PLINK του PuTTY για τη δημιουργία σηράγγων SSH
- Φιλοξενία κακόβουλων βοηθητικών προγραμμάτων σε υπηρεσίες IPFS (InterPlanetary File System)
- Αξιοποίηση δυναμικών τελικών σημείων ανακατεύθυνσης που βασίζονται σε PHP για φιλτράρισμα επισκεψιμότητας
Αυτές οι κοινές μέθοδοι υποδηλώνουν πιθανό συντονισμό ή αμοιβαία υιοθέτηση αποτελεσματικών τακτικών.
Θέματα Κοινωνικής Μηχανικής και Τακτικές Παράδοσης
Οι καμπάνιες που αφορούν το TransferLoader συχνά μεταμφιέζονται σε email με ευκαιρίες εργασίας, δελεάζοντας τα θύματα με συνδέσμους που ισχυρίζονται ότι οδηγούν σε βιογραφικά σε μορφή PDF. Στην πραγματικότητα, ο σύνδεσμος ενεργοποιεί μια λήψη του TransferLoader που φιλοξενείται σε διαδικτυακά κοινόχρηστα στοιχεία IPFS.
Βασικά τεχνικά χαρακτηριστικά των λειτουργιών του TransferLoader
Αποφεύγει την ανίχνευση – Χρησιμοποιεί ανακατεύθυνση, φιλτράρισμα και αποκεντρωμένη φιλοξενία για να παρακάμψει τις παραδοσιακές άμυνες.
Παράδοση ωφέλιμου φορτίου – Λειτουργεί ως φορτωτής για πιο επικίνδυνο κακόβουλο λογισμικό, συμπεριλαμβανομένων ransomware και εργαλείων απομακρυσμένης πρόσβασης.
Διαφοροποιημένες Τεχνικές – Χρησιμοποιεί μοναδικές δομές ανακατεύθυνσης (τελικά σημεία JavaScript σε PHP) για την υποστήριξη της δυναμικής παράδοσης περιεχομένου.
Συμπέρασμα: Κατανόηση της απειλής TransferLoader
Το TransferLoader αποτελεί σημαντική απειλή ως ένας αθόρυβος φορτωτής ικανός να επιτρέπει επιθέσεις υψηλού αντίκτυπου. Η χρήση του τόσο από το UNK_GreenSec όσο και από το TA829 καταδεικνύει πώς οι ομάδες κυβερνοεγκληματιών συνεχίζουν να καινοτομούν, να μοιράζονται εργαλεία και να εκμεταλλεύονται αποκεντρωμένες υποδομές για να αποφύγουν τον εντοπισμό και να επιτύχουν τους στόχους τους.
Οι ενδείξεις της απειλής TransferLoader περιλαμβάνουν:
- Χρήση υπηρεσιών REM Proxy
- Δολώματα ηλεκτρονικού ταχυδρομείου που αναφέρουν αιτήσεις εργασίας ή βιογραφικά
- Αλυσίδες ανακατεύθυνσης που περιλαμβάνουν συνδέσμους Rebrandly
- Φορτία που φιλοξενούνται σε πλατφόρμες που βασίζονται σε IPFS
Οι οργανισμοί πρέπει να παραμένουν σε εγρήγορση, να εφαρμόζουν ισχυρό φιλτράρισμα email και ιστού και να παρακολουθούν συνεχώς για μη φυσιολογική συμπεριφορά δικτύου που συνδέεται με αυτές τις τακτικές.
