Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma TransferLoader-haittaohjelma

TransferLoader-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

Tietoturvatutkijat löytävät yhteyksiä RomCom RAT -hyökkäyksen takana olevien pahamaineisten toimijoiden ja TransferLoader-nimisen haittaohjelmien lataajan välille. Tämä vakoilu- ja kiristyshaittaohjelmahyökkäyksiin kohdistettu kampanja tuo esiin hienostuneita tekniikoita ja päällekkäisiä infrastruktuureja, jotka vaativat tarkkaa tarkastelua.

Kaksi uhkatoimijaklusteria: TA829 ja UNK_GreenSec

Kyberturvallisuustutkijat ovat yhdistäneet TransferLoader-hakemukseen liittyvän toiminnan kahteen ensisijaiseen uhkatoimijaryhmään:

  • TA829, jota seurataan myös aliaksilla, kuten RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 ja Void Rabisu.
  • UNK_GreenSec, vähemmän tunnettu klusteri, joka toimii rinnakkain samankaltaisten taktiikoiden kanssa.

TA829 on erityisen tunnettu hybridioperaatioistaan, joissa yhdistyvät vakoilu ja taloudellisesti motivoituneet hyökkäykset. Tämä Venäjä-liittolainen ryhmä on aiemmin hyödyntänyt Mozilla Firefoxin ja Microsoft Windowsin nollapäivähaavoittuvuuksia RomCom RAT -hyökkäyksen levittämiseen ja kohdistanut hyökkäyksiä arvokkaisiin globaaleihin organisaatioihin.

TransferLoader: Esiintyminen ja rooli haittaohjelmakampanjoissa

TransferLoader tunnistettiin ensimmäisen kerran helmikuussa 2025 Morpheus-kiristyshaittaohjelmaan liittyvän kampanjan aikana. Morpheus on uudelleenbrändätty versio HellCat-kiristyshaittaohjelmasta. Haittaohjelmaa käytettiin nimeämätöntä yhdysvaltalaista asianajotoimistoa vastaan. Toisin kuin RomCom, TransferLoader toimii ensisijaisesti huomaamattomana toimitusmekanismina, joka mahdollistaa muiden haitallisten hyötykuormien, kuten Metasploitin ja Morpheuksen, käyttöönoton.

TransferLoaderin tehtävä on yksinkertainen: pysyä huomaamattomana ja levittää lisää haittaohjelmia.

REM-välityspalvelininfrastruktuurin hyödyntäminen

Sekä TA829 että UNK_GreenSec käyttävät REM-välityspalvelimia, joita usein isännöidään vaarantuneilla MikroTik-reitittimillä. Näitä välityspalvelimia käytetään haitallisen liikenteen reitittämiseen, jolloin sen todellinen alkuperä peittyy. Ryhmät käyttävät tätä infrastruktuuria seuraaviin tarkoituksiin:

  • Lähetä tietojenkalasteluviestejä ilmaispostipalveluiden (esim. Gmail, ukr.net) kautta
  • Välitä liikenne piilottaaksesi ylävirran toiminnan
  • Käynnistä kampanjoita käyttämällä sekä uusia että vaarantuneita sähköpostitilejä

Tutkijat epäilevät sähköpostityökalujen, kuten ximajazehox333@gmail.com ja hannahsilva1978@ukr.net, käyttöä tietojenkalasteluhyökkäysten levittämiseen.

Tietojenkalastelumekaniikka ja hyötykuormien toimitus

Molempien ryhmien lähettämät tietojenkalasteluviestit sisältävät usein linkkejä, jotka on upotettu sähköpostin runkoon tai PDF-liitteisiin. Näitä linkkejä napsauttavat uhrit joutuvat uudelleenohjausten ketjuun Rebrandlyn kautta, ja lopulta he päätyvät väärennetyille Google Drive- tai Microsoft OneDrive -sivuille. Näihin uudelleenohjauksiin kuuluu mekanismeja, joilla:

  • Ohita hiekkalaatikkoympäristöt
  • Suodata pois ei-kiinnostavat järjestelmät
  • Toimita erilaisia lopullisia hyötykuormia uhkaryhmästä riippuen

Eriävät hyökkäysreitit :

  • UNK_GreenSec käyttää tätä reittiä TransferLoaderin käyttöönottoon
  • TA829 ohjaa kohteet SlipScreen-haittaohjelmaan

Jaetut työkalut ja infrastruktuuri

Molemmilla toimijaryhmillä on päällekkäisiä työkaluja ja infrastruktuurivalintoja:

  • PuTTY:n PLINK-apuohjelman käyttö SSH-tunnelien luomiseen
  • Haitallisten apuohjelmien isännöinti IPFS (InterPlanetary File System) -palveluissa
  • Dynaamisten PHP-pohjaisten uudelleenohjauspäätepisteiden hyödyntäminen liikenteen suodatuksessa

Nämä jaetut menetelmät viittaavat tehokkaiden taktiikoiden mahdolliseen koordinointiin tai keskinäiseen käyttöön.

Sosiaalisen manipuloinnin teemat ja toimitustaktiikat

TransferLoaderia käyttävät kampanjat naamioituvat usein työpaikkailmoitussähköposteiksi ja houkuttelevat uhreja linkeillä, jotka väittävät vievän PDF-ansioluetteloihin. Todellisuudessa linkki laukaisee TransferLoaderin latauksen IPFS:n verkkojakopalveluissa.

TransferLoader-toimintojen tärkeimmät tekniset kohokohdat

Välttää havaitsemisen – Käyttää uudelleenohjausta, suodatusta ja hajautettua hostingia ohittaakseen perinteiset puolustusmekanismit.

Hyötykuormien toimitus – Toimii lataajana vaarallisemmille haittaohjelmille, kuten kiristysohjelmille ja etäkäyttötyökaluille.

Eriytetyt tekniikat – Käyttää ainutlaatuisia uudelleenohjausrakenteita (JavaScriptistä PHP:hen -päätepisteet) dynaamisen sisällön toimituksen tukemiseksi.

Johtopäätös: TransferLoader-uhan ymmärtäminen

TransferLoader edustaa merkittävää uhkaa huomaamattomana latausohjelmana, joka mahdollistaa tehokkaat hyökkäykset. Sekä UNK_GreenSecin että TA829:n käyttämä ohjelma havainnollistaa, kuinka kyberrikollisryhmät jatkavat innovointia, työkalujen jakamista ja hajautetun infrastruktuurin hyödyntämistä välttääkseen paljastumisen ja saavuttaakseen tavoitteensa.

TransferLoader-uhan indikaattoreita ovat:

  • REM-välityspalveluiden käyttö
  • Sähköpostit houkuttelevat työhakemuksiin tai ansioluetteloihin viittaamalla
  • Rebrandly-linkkejä sisältävät uudelleenohjausketjut
  • IPFS-pohjaisilla alustoilla isännöidyt hyötykuormat

Organisaatioiden on pysyttävä valppaina, otettava käyttöön tehokas sähköpostin ja verkon suodatus ja seurattava jatkuvasti näihin taktiikoihin liittyvää epänormaalia verkkokäyttäytymistä.

Trendaavat

Eniten katsottu

Ladataan...