Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara TransferLoader pahavara

TransferLoader pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Turvaeksperdid seostavad kurikuulsaid tegijaid RomCom RATi ja pahavaralaaduri TransferLoader taga. See kampaania, mis on sihtinud spionaaži ja lunavararünnakutega üksusi, toob esile keerukaid tehnikaid ja kattuvaid infrastruktuure, mis vajavad hoolikat uurimist.

Kaks ohutegurite klastrit: TA829 ja UNK_GreenSec

Küberturvalisuse uurijad on omistanud TransferLoaderiga seotud tegevuse kahele peamisele ohurühmale:

  • TA829, mida jälgitakse ka selliste varjunimede all nagu RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 ja Void Rabisu.
  • UNK_GreenSec, vähemtuntud klaster, mis tegutseb paralleelselt sarnaste taktikatega.

TA829 on eriti tähelepanuväärne oma hübriidoperatsioonide poolest, mis ühendavad spionaaži ja rahaliselt motiveeritud rünnakuid. See Venemaaga seotud rühmitus on varem ära kasutanud Mozilla Firefoxi ja Microsoft Windowsi nullpäeva haavatavusi, et juurutada RomCom RAT-i, mis on suunatud kõrge väärtusega globaalsetele organisatsioonidele.

TransferLoader: tekkimine ja roll pahavarakampaaniates

TransferLoader tuvastati esmakordselt 2025. aasta veebruaris kampaania käigus, mis hõlmas Morpheuse lunavara, HellCati lunavara ümbernimetatud versiooni. Pahavara kasutati nimetu USA-s asuva advokaadibüroo vastu. Erinevalt RomComist toimib TransferLoader peamiselt salajase edastusmehhanismina, mis võimaldab levitada täiendavaid pahatahtlikke pakette, nagu Metasploit ja Morpheus.

TransferLoaderi missioon on lihtne: jääda avastamata ja levitada edasist pahavara.

REM-puhverserveri infrastruktuuri ärakasutamine

Nii TA829 kui ka UNK_GreenSec tuginevad REM-proksi teenustele, mis sageli asuvad ohustatud MikroTiku ruuteritel. Neid proksisid kasutatakse pahatahtliku liikluse suunamiseks, varjates selle tegelikku päritolu. Rühmitused kasutavad seda infrastruktuuri järgmiselt:

  • Saatke andmepüügikirju tasuta meiliteenuste kaudu (nt Gmail, ukr.net)
  • Edastage liiklus ülesvoolu tegevuse peitmiseks
  • Käivitage kampaaniaid, kasutades nii äsja loodud kui ka ohustatud e-posti kontosid

Teadlased kahtlustavad õngitsuslehtede levitamiseks selliste meiliaadresside koostamise tööriistade kasutamist, mis genereerivad massiliselt saatja aadresse, näiteks ximajazehox333@gmail.com ja hannahsilva1978@ukr.net.

Andmepüügimehaanika ja kasuliku koormuse edastamine

Mõlema klastri saadetud andmepüügisõnumid sisaldavad sageli linke, mis on manustatud e-kirja sisusse või PDF-manustesse. Nendele linkidele klõpsavad ohvrid satuvad Rebrandly kaudu ümbersuunamiste ahelasse, mis lõpuks maandub võltsitud Google Drive'i või Microsoft OneDrive'i lehtedele. Need ümbersuunamised hõlmavad mehhanisme, mis:

  • Liivakastikeskkondade vahelejätmine
  • Filtreeri välja mittehuvitavad süsteemid
  • Edastage erinevaid lõplikke kasulikke koormusi olenevalt ohugrupist

Erinevad rünnakuteed :

  • UNK_GreenSec kasutab seda marsruuti TransferLoaderi juurutamiseks
  • TA829 suunab sihtmärgid SlipScreeni pahavarale

Jagatud tööriistad ja infrastruktuur

Mõlemad osalejate rühmad demonstreerivad kattuvaid tööriistakomplekte ja infrastruktuurivalikuid:

  • PuTTY PLINK utiliidi kasutamine SSH tunnelite loomiseks
  • Pahatahtlike utiliitide majutamine IPFS-i (InterPlanetary File System) teenustes
  • Dünaamiliste PHP-põhiste ümbersuunamispunktide kasutamine liikluse filtreerimiseks

Need jagatud meetodid viitavad võimalikule koordineerimisele või tõhusate taktikate vastastikusele kasutuselevõtule.

Sotsiaalse inseneritöö teemad ja edastustaktika

TransferLoaderiga seotud kampaaniad maskeeruvad sageli tööpakkumiste e-kirjadeks, meelitades ohvreid linkidega, mis väidetavalt viivad PDF-vormingus CV-deni. Tegelikkuses käivitab link IPFS-i veebijagamisplatvormidel majutatud TransferLoaderi allalaadimise.

TransferLoaderi toimingute peamised tehnilised esiletõstmised

Väldib avastamist – Kasutab ümbersuunamist, filtreerimist ja detsentraliseeritud hostimist traditsiooniliste kaitsemehhanismide möödahiilimiseks.

Kasuliku koormuse edastamine – toimib ohtlikuma pahavara, sealhulgas lunavara ja kaugjuurdepääsu tööriistade laadijana.

Diferentseeritud tehnikad – Kasutab dünaamilise sisu edastamise toetamiseks unikaalseid ümbersuunamisstruktuure (JavaScriptilt PHP lõpp-punktidele).

Kokkuvõte: TransferLoaderi ohu mõistmine

TransferLoader kujutab endast märkimisväärset ohtu kui varjatud laadur, mis on võimeline võimaldama suure mõjuga rünnakuid. Selle kasutamine nii UNK_GreenSeci kui ka TA829 poolt näitab, kuidas küberkurjategijate rühmitused jätkavad uuenduste tegemist, tööriistade jagamist ja detsentraliseeritud infrastruktuuri ärakasutamist, et vältida avastamist ja saavutada oma eesmärke.

TransferLoaderi ohu näitajate hulka kuuluvad:

  • REM-proksi teenuste kasutamine
  • Meilisõnumid, mis viitavad tööavaldustele või CV-dele
  • Rebrandly linke hõlmavad ümbersuunamisketid
  • IPFS-põhistel platvormidel majutatud kasulikud koormused

Organisatsioonid peavad jääma valvsaks, rakendama tõhusat e-posti ja veebifiltreerimist ning pidevalt jälgima nende taktikatega seotud ebanormaalset võrgukäitumist.

Trendikas

Enim vaadatud

Laadimine...