IDAT laadija
Küberjulgeoleku teadlased avastasid ründekampaania, mis on tuvastatud ohuna Ukraina troojale nimega Remcos RAT ja mida hõlbustab IDAT Loader tuntud pahavara laadija. Ukraina arvutihädareageerimismeeskond (CERT-UA), jälgides ohutegijat nime all UAC-0184 (TA544), on omistanud rünnakule.
IDAT Loaderi abil sooritatud rünnak hõlmab tehnikana steganograafiat. Kuigi steganograafilised ehk Stego tehnikad on laialt tunnustatud. Steganograafilised tehnikad hõlmavad teabe varjamist muusse meediumisse, näiteks andmete peitmist piltides, helifailides või muus digitaalsisus, et võimaldada varjatud suhtlust ilma tähelepanu äratamata. Väga oluline on mõista nende rolli kaitsemeetmetest kõrvalehoidmisel.
Sisukord
IDAT-laadur hõlbustab järgmise etapi pahavara koormate kohaletoimetamist
IDAT Loader, millel on sarnasusi teise laadurite perekonnaga nimega Hijack Loader, on mitme kuu jooksul aktiivselt juurutanud erinevaid kasulikke koormusi, sealhulgas DanaBot , SystemBC ja RedLine Stealer . Seda laadijat on kasutanud ohutegureid TA544, et levitada Remcos RAT-i ja SystemBC-d andmepüügirünnakute kaudu.
Andmepüügikampaania, mille CERT-UA avalikustas 2024. aasta jaanuari alguses, hõlmab sõjateemaliste söötade kasutamist nakkusahela käivitamiseks. See ahel viib lõpuks IDAT-laaduri juurutamiseni, mis kasutab Remcos RAT-i leidmiseks ja eraldamiseks manustatud steganograafilist PNG-d.
Remcos RAT-i kasutatakse sageli küberkurjategijate kampaaniates
REMCOS RAT on levinud kaugjuurdepääsu troojalane, mida kasutatakse laialdaselt nii küberkuritegudes kui ka spionaažis. REMCOS, mis on tuntud oma võime poolest arvutite üle kontrolli haarata, suudab koguda klahvivajutusi, heli, videot, ekraanipilte ja süsteemiandmeid, hõlbustades samal ajal ka täiendavate pahavarakoormuste edastamist. Tavaliselt levitatakse seda pahavara andmepüügimeilide kaudu, mis sisaldavad pahatahtlikke manuseid või linke, mis viib RAT-i installimiseni. Eelkõige on täheldatud, et REMCOS-i levitatakse erinevate vahenditega, sealhulgas pahavara laadijate kaudu. Pahavara on pahatahtlikult kasutatud alates 2010. aastate keskpaigast.
REMCOS-i edukal rakendamisel saavad ohutegurid sihtsüsteemi üle terviklikud kontrolli- ja seirevõimalused. See võimaldab neil tundlikke andmeid pikema aja jooksul salaja välja filtreerida, vältides potentsiaalselt tuvastamist. Sellise tundliku teabe kasutamisega kaasneb olenevalt sihtmärgist oht, et ohvreid ähvardab väljapressimine, võimalik töökaotus, kui ettevõtte andmed satuvad ohtu, ja organisatsiooniandmete vargus. Neid varastatud andmeid saab seejärel ära kasutada suuremahuliste keerukate rünnakute korraldamiseks, mille tulemuseks on tõsine ja võib-olla korvamatu kahju mõjutatud organisatsioonidele või üksikisikute elatusvahenditele.
Ukraina on jätkuvalt Venemaaga seotud häkkerirühmituste küberkurjategijate rünnakute sihtmärk
CERT-UA on hoiatanud ka suunatud küberrünnaku eest, mille eesmärk on nakatada Ukraina relvajõudude kasutatavaid arvutisüsteeme Cookboxi tagauksega.
CERT-UA andmetel levitas tundmatu isik XLS-i dokumenti nimega '1_ф_5.39-2024.xlsm' Signal Messengeri kaudu mitme sõjaväelase vahel, väites, et tal on probleeme aruande koostamisega. Nimetatud fail sisaldas täiendavat VBA skripti, mis käivitas PowerShelli skripti nimega 'mob2002.data' allalaadimise ja käivitamise.
GitHubist alla laaditud PowerShelli skript teeb OS-i registris mõningaid muudatusi. Täpsemalt eemaldab see base64-kodeeringuga kasuliku koormuse kausta 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', mis lõpuks käivitab Cookboxi pahavara. Cookbox on PowerShelli skript, mis rakendab PowerShelli cmdlet-käskude allalaadimise ja käivitamise funktsioone.
Käsu- ja juhtimisserverite tööks kasutatakse dünaamilisi DNS-teenuseid (nt gotdns.ch, myftp.biz) ja Cloudflare'i töötajaid. Kirjeldatud tegevus, mida jälgitakse kui UAC-0149, on teadlaste avaldatud andmetel kestnud vähemalt 2023. aasta sügisest.
