لودر IDAT

محققان امنیت سایبری یک کمپین حمله را کشف کرده‌اند که به عنوان تهدیدی برای یک تروجان اوکراینی به نام Remcos RAT شناخته می‌شود که توسط یک بارگذار بدافزار معروف به IDAT Loader تسهیل می‌شود. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) که عامل تهدید را با نام UAC-0184 (TA544) ردیابی می کند، این حمله را نسبت داده است.

این حمله که از طریق استفاده از IDAT Loader انجام می شود، از استگانوگرافی به عنوان یک تکنیک استفاده می کند. اگرچه تکنیک‌های استگانوگرافی یا "Stego" به طور گسترده ای شناخته شده است. تکنیک‌های استگانوگرافی شامل پنهان کردن اطلاعات در یک رسانه دیگر، مانند مخفی کردن داده‌ها در تصاویر، فایل‌های صوتی یا سایر محتوای دیجیتال، برای ایجاد ارتباط پنهان بدون جلب توجه است. درک نقش آنها در فرار از اقدامات دفاعی بسیار مهم است.

لودر IDAT تحویل بارهای بدافزار مرحله بعدی را تسهیل می کند

IDAT Loader که شباهت هایی با خانواده لودر دیگری به نام Hijack Loader دارد، طی چندین ماه به طور فعال بارهای مختلفی از جمله DanaBot ، SystemBC و RedLine Stealer را مستقر کرده است. این لودر توسط یک عامل تهدید به نام TA544 برای انتشار Remcos RAT و SystemBC از طریق حملات فیشینگ استفاده شده است.

کمپین فیشینگ که در ابتدا توسط CERT-UA در اوایل ژانویه 2024 فاش شد، شامل استفاده از طعمه‌هایی با مضمون جنگ برای شروع یک زنجیره عفونت است. این زنجیره در نهایت منجر به استقرار IDAT Loader می شود که از یک PNG نهان نگاری تعبیه شده برای مکان یابی و استخراج Remcos RAT استفاده می کند.

Remcos RAT اغلب در کمپین های مجرمانه سایبری استفاده می شود

REMCOS RAT به عنوان یک تروجان دسترسی از راه دور رایج است که به طور گسترده در هر دو جنایت سایبری و جاسوسی استفاده می شود. REMCOS که به دلیل توانایی خود در به دست گرفتن کنترل رایانه ها مشهور است، می تواند کلیدها، صدا، ویدیو، اسکرین شات ها و داده های سیستم را جمع آوری کند و در عین حال تحویل بارهای بدافزار اضافی را نیز تسهیل کند. به طور معمول، این بدافزار از طریق ایمیل‌های فیشینگ حاوی پیوست‌ها یا پیوندهای مخرب منتشر می‌شود که منجر به نصب RAT می‌شود. قابل ذکر است، مشاهده شده است که REMCOS از طریق ابزارهای مختلف، از جمله بارکننده‌های بدافزار، توزیع می‌شود. این بدافزار از اواسط دهه 2010 به طور مخرب مورد استفاده قرار گرفته است.

پس از اجرای موفقیت آمیز REMCOS، عوامل تهدید قابلیت های کنترل و نظارت جامع بر روی سیستم هدف را به دست می آورند. این به آنها امکان می دهد تا به طور مخفیانه داده های حساس را در یک دوره طولانی استخراج کنند و به طور بالقوه از شناسایی اجتناب کنند. استفاده از چنین اطلاعات حساس، بسته به هدف، خطر مواجه شدن قربانیان با باج گیری، از دست دادن شغل احتمالی در صورت به خطر افتادن داده های شرکت و سرقت داده های سازمانی را به همراه دارد. این داده های دزدیده شده می توانند برای سازماندهی حملات پیچیده و در مقیاس بزرگ مورد سوء استفاده قرار گیرند که منجر به آسیب شدید و احتمالاً جبران ناپذیر به سازمان ها یا معیشت افراد آسیب دیده می شود.

اوکراین همچنان هدف حملات سایبری توسط گروه های هکری همسو با روسیه است

CERT-UA همچنین درباره یک حمله سایبری هدفمند با هدف آلوده کردن سیستم های رایانه ای مورد استفاده توسط نیروهای مسلح اوکراین با درب پشتی Cookbox هشدار داده است.

بر اساس گزارش CERT-UA، یک فرد ناشناس یک سند XLS به نام '1_ф_5.39-2024.xlsm' را از طریق پیام رسان سیگنال در میان چندین پرسنل نظامی توزیع کرد و ادعا کرد که با تشکیل گزارش مشکل دارد. فایل مذکور حاوی یک اسکریپت VBA اضافی بود که بارگیری و اجرای یک اسکریپت PowerShell به نام "mob2002.data" را آغاز کرد.

اسکریپت PowerShell دانلود شده از GitHub تغییراتی را در رجیستری سیستم عامل ایجاد می کند. به طور خاص، یک بارگذاری با کد base64 در 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' رها می کند که در نهایت بدافزار Cookbox را اجرا می کند. Cookbox یک اسکریپت PowerShell است که عملکردی را برای دانلود و اجرای cmdlet های PowerShell پیاده سازی می کند.

سرویس‌های DNS پویا (مانند gotdns.ch، myftp.biz) و Cloudflare Workers برای عملکرد سرورهای فرمان و کنترل استفاده می‌شوند. بر اساس داده‌های فاش‌شده توسط محققان، فعالیت توصیف‌شده، با نام UAC-0149، حداقل از پاییز 2023 ادامه داشته است.