IDAT Loader
Kyberturvallisuustutkijat ovat havainneet hyökkäyskampanjan, joka on tunnistettu uhkaksi ukrainalaiselle troijalaiselle nimeltä Remcos RAT ja jota helpottaa IDAT Loader -niminen haittaohjelmien latausohjelma. Ukrainan Computer Emergency Response Team (CERT-UA), joka jäljitti uhkatekijää nimellä UAC-0184 (TA544), on katsonut hyökkäyksen syyksi.
IDAT Loaderin avulla toteutettu hyökkäys sisältää steganografian tekniikkana. Vaikka steganografiset tai "Stego"-tekniikat ovat laajalti tunnustettuja. Steganografiset tekniikat sisältävät tietojen piilottamisen toiseen välineeseen, kuten tietojen piilottamiseen kuviin, äänitiedostoihin tai muuhun digitaaliseen sisältöön, mikä mahdollistaa salaisen viestinnän herättämättä huomiota. On ratkaisevan tärkeää ymmärtää heidän roolinsa puolustustoimenpiteiden kiertämisessä.
Sisällysluettelo
IDAT Loader helpottaa seuraavan vaiheen haittaohjelmien hyötykuormien toimittamista
IDAT Loader, jolla on yhtäläisyyksiä toisen lastausperheen kanssa nimeltä Hijack Loader, on ottanut aktiivisesti käyttöön erilaisia hyötykuormia, mukaan lukien DanaBot , SystemBC ja RedLine Stealer, useiden kuukausien ajan. TA544:ksi tunnistettu uhkatoimija on käyttänyt tätä lataajaa Remcos RAT:n ja SystemBC:n levittämiseen tietojenkalasteluhyökkäysten kautta.
Tietojenkalastelukampanja, jonka CERT-UA julkisti alun perin tammikuun 2024 alussa, sisältää sotaaiheisten syöttien käyttämisen tartuntaketjun käynnistämiseen. Tämä ketju johtaa lopulta IDAT Loaderin käyttöönottoon, joka käyttää sulautettua steganografista PNG:tä Remcos RAT:n paikallistamiseen ja purkamiseen.
Remcos RATia käytetään usein kyberrikolliskampanjoissa
REMCOS RAT on yleinen etäkäyttötroijalainen, jota käytetään laajasti sekä kyberrikollisissa että vakoilussa. REMCOS, joka tunnetaan kyvystään hallita tietokoneita, voi kerätä näppäinpainalluksia, ääntä, videota, kuvakaappauksia ja järjestelmätietoja ja helpottaa samalla ylimääräisten haittaohjelmien lähettämistä. Yleensä tämä haittaohjelma leviää tietojenkalasteluviestien kautta, jotka sisältävät haitallisia liitteitä tai linkkejä, mikä johtaa RAT:n asennukseen. Erityisesti REMCOSin on havaittu leviävän eri tavoin, mukaan lukien haittaohjelmien lataajat. Haittaohjelmaa on käytetty haitallisesti 2010-luvun puolivälistä lähtien.
Kun REMCOS on suoritettu onnistuneesti, uhkatoimijat saavat kattavat ohjaus- ja valvontaominaisuudet kohdejärjestelmän yli. Tämä mahdollistaa sen, että he voivat salaa suodattaa arkaluontoisia tietoja pitkän ajan kuluessa, mikä saattaa välttää havaitsemisen. Tällaisten arkaluontoisten tietojen hyödyntämiseen liittyy kohteesta riippuen riski, että uhrit joutuvat kiristykseen, mahdollisiin työpaikkojen menetyksiin, jos yrityksen tiedot vaarantuvat, ja organisaatiotietojen varastamisen. Näitä varastettuja tietoja voitaisiin sitten hyödyntää suurten, kehittyneiden hyökkäysten järjestämiseen, mikä voi aiheuttaa vakavia ja mahdollisesti korjaamattomia vahinkoja asianomaisille organisaatioille tai yksilöiden toimeentulolle.
Ukraina on edelleen Venäjän kanssa linjassa olevien hakkeriryhmien kyberrikollisten hyökkäysten kohteena
CERT-UA on myös varoittanut kohdistetusta kyberhyökkäyksestä, jonka tarkoituksena on saastuttaa Ukrainan asevoimien käyttämät tietokonejärjestelmät Cookbox-takaovella.
CERT-UA:n mukaan tunnistamaton henkilö jakoi XLS-dokumentin nimeltä '1_ф_5.39-2024.xlsm' Signal Messengerin kautta useiden sotilaiden kesken väittäen, että hänellä oli ongelmia raportin muodostamisessa. Mainittu tiedosto sisälsi ylimääräisen VBA-komentosarjan, joka käynnisti mob2002.data-nimisen PowerShell-komentosarjan latauksen ja suorittamisen.
GitHubista ladattu PowerShell-skripti tekee joitain muutoksia käyttöjärjestelmän rekisteriin. Tarkemmin sanottuna se pudottaa base64-koodatun hyötykuorman kansioon "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache", joka lopulta suorittaa Cookbox-haittaohjelman. Cookbox on PowerShell-skripti, joka toteuttaa toimintoja PowerShell-cmdlet-komentojen lataamiseen ja suorittamiseen.
Dynaamisia DNS-palveluita (kuten gotdns.ch, myftp.biz) ja Cloudflare Workers -palveluita käytetään komento- ja ohjauspalvelimien toimintaan. Kuvattu UAC-0149:nä jäljitetty toiminta on tutkijoiden paljastamien tietojen mukaan ollut käynnissä ainakin syksystä 2023 lähtien.
