מטעין IDAT
חוקרי אבטחת סייבר גילו מסע תקיפה שזוהה כאיום לסוס טרויאני אוקראיני בשם Remcos RAT, בסיוע מטעין תוכנות זדוניות המכונה IDAT Loader. צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA), עוקב אחר שחקן האיום בתור UAC-0184 (TA544), ייחס את המתקפה.
המתקפה, שבוצעה באמצעות שימוש ב-IDAT Loader, משלבת סטגנוגרפיה כטכניקה. למרות שטכניקות סטגנוגרפיות, או 'סטגו', זוכות להכרה רחבה. טכניקות סטגנוגרפיות כוללות הסתרת מידע בתוך מדיום אחר, כגון הסתרת נתונים בתוך תמונות, קבצי שמע או תוכן דיגיטלי אחר, כדי לאפשר תקשורת סמויה מבלי למשוך תשומת לב. חיוני להבין את תפקידם בהתחמקות מאמצעי הגנה.
תוכן העניינים
ה-IDAT Loader מקל על אספקת עומסי תוכנה זדונית בשלב הבא
ה-IDAT Loader, בעל קווי דמיון עם משפחת מעמיסים אחרת בשם Hijack Loader, פורס באופן פעיל מטענים שונים, כולל DanaBot , SystemBC ו- RedLine Stealer, במשך מספר חודשים. מטעין זה הועסק על ידי גורם איומים שזוהה כ-TA544 כדי להפיץ את Remcos RAT ו-SystemBC באמצעות התקפות דיוג.
קמפיין הדיוג, שנחשף תחילה על ידי CERT-UA בתחילת ינואר 2024, כולל שימוש בפיתיונות בנושא מלחמה כדי ליזום שרשרת זיהומים. שרשרת זו מובילה בסופו של דבר לפריסה של ה-IDAT Loader, המשתמש ב-PNG סטגנוגרפי משובץ כדי לאתר ולחלץ את Remcos RAT.
Remcos RAT נפרס לעתים קרובות במסעות פרסום של פושעי סייבר
ה-REMCOS RAT עומד בתור טרויאני גישה מרחוק נפוץ המועסק בהרחבה הן בפשעי סייבר והן במאמצי ריגול. REMCOS, הידועה ביכולתה לתפוס שליטה במחשבים, יכולה לאסוף הקשות, אודיו, וידאו, צילומי מסך ונתוני מערכת, תוך שהיא מאפשרת משלוח של מטענים נוספים של תוכנות זדוניות. בדרך כלל, תוכנה זדונית זו מופצת באמצעות הודעות דיוג המכילות קבצים מצורפים או קישורים זדוניים, מה שמוביל להתקנת ה-RAT. יש לציין ש-REMCOS מופץ באמצעים שונים, כולל מעמיסי תוכנות זדוניות. התוכנה הזדונית נוצלה בזדון מאז אמצע שנות ה-2010.
עם ביצוע מוצלח של REMCOS, גורמי האיום מקבלים יכולות שליטה ומעקב מקיפות על מערכת היעד. זה מאפשר להם לסנן נתונים רגישים בחשאי על פני תקופה ממושכת, ועלולה להימנע מגילוי. השימוש במידע רגיש שכזה, בהתאם למטרה, טומן בחובו סיכון של קורבנות שיעמדו בפני סחיטה, אובדן מקומות עבודה פוטנציאליים אם נתוני החברה ייפגעו וגניבת נתונים ארגוניים. לאחר מכן ניתן יהיה לנצל את הנתונים הגוזלים הללו כדי לתזמר התקפות מתוחכמות בקנה מידה גדול, וכתוצאה מכך לפגיעה חמורה ואולי בלתי הפיכה בארגונים המושפעים או בפרנסתם של אנשים.
אוקראינה נותרה יעד להתקפות פושעי סייבר על ידי קבוצות האקרים המתואמות עם רוסיה
CERT-UA גם הזהירה מפני מתקפת סייבר ממוקדת שמטרתה להדביק את מערכות המחשב המשמשות את הכוחות המזוינים של אוקראינה בדלת האחורית של Cookbox.
לפי CERT-UA, אדם לא מזוהה הפיץ מסמך XLS בשם '1_ф_5.39-2024.xlsm' באמצעות שליח האותות בין מספר אנשי צבא, בטענה שיש לו בעיות בגיבוש הדוחות. הקובץ האמור הכיל סקריפט VBA נוסף שהפעיל הורדה וביצוע של סקריפט PowerShell בשם 'mob2002.data'.
סקריפט PowerShell שהורד מ-GitHub מבצע כמה שינויים ברישום מערכת ההפעלה. ליתר דיוק, הוא מוריד מטען מקודד base64 ב-'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', שבסופו של דבר מפעיל את תוכנת הזדונית Cookbox. Cookbox הוא סקריפט PowerShell שמיישם פונקציונליות להורדה והפעלה של PowerShell cmdlets.
שירותי DNS דינמיים (כגון gotdns.ch, myftp.biz) ו-Cloudflare Workers משמשים לתפעול שרתי פיקוד ובקרה. הפעילות המתוארת, במעקב כ-UAC-0149, נמשכת לפחות מאז סתיו 2023, על פי הנתונים שנחשפו על ידי החוקרים.
