תוכנה זדונית של TransferLoader

חוקרי אבטחה מקשרים בין גורמים ידועים לשמצה מאחורי ה-RomCom RAT לבין טוען תוכנות זדוניות בשם TransferLoader. קמפיין זה, שכיוון לגופים באמצעות ריגול והתקפות כופר, מדגיש טכניקות מתוחכמות ותשתיות חופפות הדורשות בדיקה מדוקדקת.

שני אשכולות של גורמי איום: TA829 ו-UNK_GreenSec

חוקרי אבטחת סייבר ייחסו פעילות הקשורה ל-TransferLoader לשתי קבוצות גורמי איום עיקריות:

• TA829, עוקב גם תחת כינויים בדויים כגון RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, ו-Void Rabisu.
• UNK_GreenSec, אשכול פחות מוכר הפועל במקביל בטקטיקות דומות.

TA829 בולטת במיוחד בפעילותה ההיברידית, המשלבת ריגול ומתקפות בעלות מניעים כלכליים. קבוצה זו, המקושרת לרוסיה, מינפה בעבר פגיעויות של יום אפס ב-Mozilla Firefox וב-Microsoft Windows כדי לפרוס RomCom RAT, כשהיא מכוונת לארגונים גלובליים בעלי ערך גבוה.

TransferLoader: הופעתה ותפקידה בקמפיינים של תוכנות זדוניות

TransferLoader זוהה לראשונה בפברואר 2025 במהלך קמפיין שכלל תוכנת הכופר Morpheus, גרסה שונה של תוכנת הכופר HellCat. התוכנה הזדונית שימשה נגד משרד עורכי דין אמריקאי אנונימי. בניגוד ל-RomCom, TransferLoader משמש בעיקר כמנגנון אספקה חשאי, המאפשר פריסה של מטענים זדוניים נוספים כמו Metasploit ו-Morpheus.

המשימה של TransferLoader פשוטה: להישאר בלתי מזוהים ולספק תוכנות זדוניות נוספות.

ניצול תשתית פרוקסי REM

גם TA829 וגם UNK_GreenSec מסתמכים על שירותי REM Proxy, שלעתים קרובות מאוחסנים על נתבים של MikroTik שנפגעו. פרוקסי אלה משמשים לניתוב תעבורה זדונית, תוך הסוואת מקורה האמיתי. הקבוצות משתמשות בתשתית זו כדי:

• שליחת הודעות דוא"ל פישינג באמצעות שירותי דואר חינמיים (למשל, Gmail, ukr.net)
• תעבורת ממסר כדי להסתיר פעילות במעלה הזרם
• השקת קמפיינים באמצעות חשבונות דוא"ל חדשים שנוצרו וגם באמצעות חשבונות דוא"ל שנפרצו

חוקרים חושדים בשימוש בכלי בניית דוא"ל המייצרים באופן המוני כתובות שולחים כמו ximajazehox333@gmail.com ו-hannahsilva1978@ukr.net לצורך הפצת פישינג.

מכניקת פישינג ומסירת מטען

הודעות הפישינג שנשלחות על ידי שני האשכולות מכילות לעתים קרובות קישורים המוטמעים בגוף הדוא"ל או בקבצי PDF מצורפים. קורבנות שלוחצים על קישורים אלה נתונים לשרשרת של הפניות מחדש דרך Rebrandly, ובסופו של דבר נוחתים בדפי Google Drive או Microsoft OneDrive מזויפים. הפניות אלה כוללות מנגנונים ל:

• עקיפת סביבות ארגז חול
• סנן מערכות שאינן מעניינות
• לספק מטענים סופיים שונים בהתאם לקבוצת האיום

נתיבי התקפה שונים :

• UNK_GreenSec משתמש בנתיב זה כדי לפרוס את TransferLoader
• TA829 מפנה מטרות לתוכנה הזדונית SlipScreen

כלים ותשתיות משותפים

שתי קבוצות הגורמים מדגימות ערכות כלים ובחירות תשתית חופפות:

• שימוש בכלי PLINK של PuTTY להקמת מנהרות SSH
• אירוח תוכנות זדוניות בשירותי IPFS (מערכת קבצים בין-פלנטרית)
• מינוף נקודות קצה דינמיות מבוססות PHP לניתוב מחדש לסינון תנועה

שיטות משותפות אלו מצביעות על תיאום אפשרי או אימוץ הדדי של טקטיקות יעילות.

נושאי הנדסה חברתית וטקטיקות אספקה

קמפיינים הכוללים את TransferLoader לעיתים קרובות מתחזים למיילים של הזדמנויות עבודה, ומפתים קורבנות באמצעות קישורים הטוענים כי הם מובילים לקורות חיים בפורמט PDF. במציאות, הקישור מפעיל הורדה של TransferLoader המתארח בשיתופי אינטרנט של IPFS.

נקודות עיקריות טכניות של פעולות TransferLoader

זיהוי התחמקות – משתמש בהפניה מחדש, סינון ואירוח מבוזר כדי לעקוף הגנות מסורתיות.

משלוח מטען – משמש כטוען עבור תוכנות זדוניות מסוכנות יותר, כולל תוכנות כופר וכלי גישה מרחוק.

טכניקות מובחנות – משתמש במבני הפניה ייחודיים (מ-JavaScript לנקודות קצה של PHP) כדי לתמוך באספקת תוכן דינמית.

סיכום: הבנת איום TransferLoader

TransferLoader מייצג איום משמעותי כטוען חשאי המסוגל לאפשר התקפות בעלות השפעה גבוהה. השימוש בו על ידי UNK_GreenSec ו-TA829 כאחד ממחיש כיצד קבוצות פושעי סייבר ממשיכות לחדש, לשתף כלים ולנצל תשתית מבוזרת כדי להימנע מגילוי ולהשיג את מטרותיהן.

אינדיקטורים לאיום TransferLoader כוללים:

• שימוש בשירותי REM Proxy
• פיתוי בדוא"ל המתייחס לבקשות עבודה או קורות חיים
• ניתוב מחדש של שרשראות הכוללות קישורי Rebrandly
• מטענים המתארחים בפלטפורמות מבוססות IPFS

ארגונים חייבים להישאר ערניים, ליישם סינון חזק של דוא"ל ואינטרנט, ולנטר באופן רציף התנהגות חריגה ברשת הקשורה לטקטיקות אלו.