لودر IDAT
محققان امنیت سایبری یک کمپین حمله را کشف کردهاند که به عنوان تهدیدی برای یک تروجان اوکراینی به نام Remcos RAT شناخته میشود که توسط یک بارگذار بدافزار معروف به IDAT Loader تسهیل میشود. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) که عامل تهدید را با نام UAC-0184 (TA544) ردیابی می کند، این حمله را نسبت داده است.
این حمله که از طریق استفاده از IDAT Loader انجام می شود، از استگانوگرافی به عنوان یک تکنیک استفاده می کند. اگرچه تکنیکهای استگانوگرافی یا "Stego" به طور گسترده ای شناخته شده است. تکنیکهای استگانوگرافی شامل پنهان کردن اطلاعات در یک رسانه دیگر، مانند مخفی کردن دادهها در تصاویر، فایلهای صوتی یا سایر محتوای دیجیتال، برای ایجاد ارتباط پنهان بدون جلب توجه است. درک نقش آنها در فرار از اقدامات دفاعی بسیار مهم است.
فهرست مطالب
لودر IDAT تحویل بارهای بدافزار مرحله بعدی را تسهیل می کند
IDAT Loader که شباهت هایی با خانواده لودر دیگری به نام Hijack Loader دارد، طی چندین ماه به طور فعال بارهای مختلفی از جمله DanaBot ، SystemBC و RedLine Stealer را مستقر کرده است. این لودر توسط یک عامل تهدید به نام TA544 برای انتشار Remcos RAT و SystemBC از طریق حملات فیشینگ استفاده شده است.
کمپین فیشینگ که در ابتدا توسط CERT-UA در اوایل ژانویه 2024 فاش شد، شامل استفاده از طعمههایی با مضمون جنگ برای شروع یک زنجیره عفونت است. این زنجیره در نهایت منجر به استقرار IDAT Loader می شود که از یک PNG نهان نگاری تعبیه شده برای مکان یابی و استخراج Remcos RAT استفاده می کند.
Remcos RAT اغلب در کمپین های مجرمانه سایبری استفاده می شود
REMCOS RAT به عنوان یک تروجان دسترسی از راه دور رایج است که به طور گسترده در هر دو جنایت سایبری و جاسوسی استفاده می شود. REMCOS که به دلیل توانایی خود در به دست گرفتن کنترل رایانه ها مشهور است، می تواند کلیدها، صدا، ویدیو، اسکرین شات ها و داده های سیستم را جمع آوری کند و در عین حال تحویل بارهای بدافزار اضافی را نیز تسهیل کند. به طور معمول، این بدافزار از طریق ایمیلهای فیشینگ حاوی پیوستها یا پیوندهای مخرب منتشر میشود که منجر به نصب RAT میشود. قابل ذکر است، مشاهده شده است که REMCOS از طریق ابزارهای مختلف، از جمله بارکنندههای بدافزار، توزیع میشود. این بدافزار از اواسط دهه 2010 به طور مخرب مورد استفاده قرار گرفته است.
پس از اجرای موفقیت آمیز REMCOS، عوامل تهدید قابلیت های کنترل و نظارت جامع بر روی سیستم هدف را به دست می آورند. این به آنها امکان می دهد تا به طور مخفیانه داده های حساس را در یک دوره طولانی استخراج کنند و به طور بالقوه از شناسایی اجتناب کنند. استفاده از چنین اطلاعات حساس، بسته به هدف، خطر مواجه شدن قربانیان با باج گیری، از دست دادن شغل احتمالی در صورت به خطر افتادن داده های شرکت و سرقت داده های سازمانی را به همراه دارد. این داده های دزدیده شده می توانند برای سازماندهی حملات پیچیده و در مقیاس بزرگ مورد سوء استفاده قرار گیرند که منجر به آسیب شدید و احتمالاً جبران ناپذیر به سازمان ها یا معیشت افراد آسیب دیده می شود.
اوکراین همچنان هدف حملات سایبری توسط گروه های هکری همسو با روسیه است
CERT-UA همچنین درباره یک حمله سایبری هدفمند با هدف آلوده کردن سیستم های رایانه ای مورد استفاده توسط نیروهای مسلح اوکراین با درب پشتی Cookbox هشدار داده است.
بر اساس گزارش CERT-UA، یک فرد ناشناس یک سند XLS به نام '1_ф_5.39-2024.xlsm' را از طریق پیام رسان سیگنال در میان چندین پرسنل نظامی توزیع کرد و ادعا کرد که با تشکیل گزارش مشکل دارد. فایل مذکور حاوی یک اسکریپت VBA اضافی بود که بارگیری و اجرای یک اسکریپت PowerShell به نام "mob2002.data" را آغاز کرد.
اسکریپت PowerShell دانلود شده از GitHub تغییراتی را در رجیستری سیستم عامل ایجاد می کند. به طور خاص، یک بارگذاری با کد base64 در 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' رها می کند که در نهایت بدافزار Cookbox را اجرا می کند. Cookbox یک اسکریپت PowerShell است که عملکردی را برای دانلود و اجرای cmdlet های PowerShell پیاده سازی می کند.
سرویسهای DNS پویا (مانند gotdns.ch، myftp.biz) و Cloudflare Workers برای عملکرد سرورهای فرمان و کنترل استفاده میشوند. بر اساس دادههای فاششده توسط محققان، فعالیت توصیفشده، با نام UAC-0149، حداقل از پاییز 2023 ادامه داشته است.