आईडीएटी लोडर

साइबर सुरक्षा शोधकर्ताओं ने एक हमले के अभियान की खोज की है, जिसे रेमकोस आरएटी नामक यूक्रेनी ट्रोजन के लिए खतरे के रूप में पहचाना गया है, जिसे आईडीएटी लोडर नामक मैलवेयर लोडर द्वारा सहायता प्रदान की गई है। यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-यूए), जो यूएसी-0184 (टीए544) के रूप में खतरे का पता लगा रही है, ने हमले को जिम्मेदार ठहराया है।

आईडीएटी लोडर के उपयोग के माध्यम से निष्पादित हमले में स्टेग्नोग्राफ़ी को एक तकनीक के रूप में शामिल किया गया है। हालाँकि स्टेग्नोग्राफ़िक, या 'स्टेगो' तकनीक व्यापक रूप से मान्यता प्राप्त है। स्टेग्नोग्राफ़िक तकनीकों में किसी अन्य माध्यम में जानकारी छिपाना शामिल है, जैसे छवियों, ऑडियो फ़ाइलों या अन्य डिजिटल सामग्री के भीतर डेटा छिपाना, ताकि ध्यान आकर्षित किए बिना गुप्त संचार सक्षम किया जा सके। रक्षा उपायों से बचने में उनकी भूमिका को समझना महत्वपूर्ण है।

आईडीएटी लोडर अगले चरण के मैलवेयर पेलोड की डिलीवरी की सुविधा प्रदान करता है

आईडीएटी लोडर, हाईजैक लोडर नामक एक अन्य लोडर परिवार के साथ समानता रखता है, कई महीनों से सक्रिय रूप से डैनबॉट , सिस्टमबीसी और रेडलाइन स्टीलर सहित विभिन्न पेलोड तैनात कर रहा है। इस लोडर को फ़िशिंग हमलों के माध्यम से रेमकोस आरएटी और सिस्टमबीसी को प्रसारित करने के लिए TA544 के रूप में पहचाने जाने वाले एक खतरे वाले अभिनेता द्वारा नियोजित किया गया है।

जनवरी 2024 की शुरुआत में CERT-UA द्वारा प्रकट किए गए फ़िशिंग अभियान में संक्रमण श्रृंखला शुरू करने के लिए युद्ध-थीम वाले चारा का उपयोग करना शामिल है। यह श्रृंखला अंततः आईडीएटी लोडर की तैनाती की ओर ले जाती है, जो रेमकोस आरएटी का पता लगाने और निकालने के लिए एक एम्बेडेड स्टेग्नोग्राफ़िक पीएनजी का उपयोग करता है।

रेमकोस आरएटी को अक्सर साइबर आपराधिक अभियानों में तैनात किया जाता है

REMCOS RAT एक प्रचलित रिमोट एक्सेस ट्रोजन के रूप में जाना जाता है जिसका उपयोग साइबर आपराधिक और जासूसी दोनों प्रयासों में बड़े पैमाने पर किया जाता है। कंप्यूटर पर नियंत्रण हासिल करने की अपनी क्षमता के लिए प्रसिद्ध, REMCOS अतिरिक्त मैलवेयर पेलोड की डिलीवरी की सुविधा प्रदान करते हुए कीस्ट्रोक्स, ऑडियो, वीडियो, स्क्रीनशॉट और सिस्टम डेटा एकत्र कर सकता है। आमतौर पर, यह मैलवेयर फ़िशिंग ईमेल के माध्यम से प्रचारित किया जाता है जिसमें दुर्भावनापूर्ण अनुलग्नक या लिंक होते हैं, जिससे RAT की स्थापना होती है। विशेष रूप से, REMCOS को मैलवेयर लोडर सहित विभिन्न माध्यमों से वितरित होते देखा गया है। 2010 के मध्य से मैलवेयर का दुर्भावनापूर्ण रूप से उपयोग किया जा रहा है।

REMCOS के सफल निष्पादन पर, खतरे वाले अभिनेताओं को लक्ष्य प्रणाली पर व्यापक नियंत्रण और निगरानी क्षमताएं प्राप्त होती हैं। यह उन्हें लंबे समय तक गुप्त रूप से संवेदनशील डेटा को बाहर निकालने में सक्षम बनाता है, जिससे संभावित रूप से पता लगाने से बचा जा सकता है। ऐसी संवेदनशील जानकारी का उपयोग, लक्ष्य के आधार पर, पीड़ितों को ब्लैकमेल का सामना करने, कंपनी डेटा से छेड़छाड़ होने पर संभावित नौकरी छूटने और संगठनात्मक डेटा की चोरी का जोखिम होता है। इस चुराए गए डेटा का उपयोग बड़े पैमाने पर, परिष्कृत हमलों को अंजाम देने के लिए किया जा सकता है, जिसके परिणामस्वरूप प्रभावित संगठनों या व्यक्तियों की आजीविका को गंभीर और संभवतः अपूरणीय क्षति हो सकती है।

यूक्रेन रूस से जुड़े हैकर समूहों द्वारा साइबर आपराधिक हमलों का निशाना बना हुआ है

CERT-UA ने कुकबॉक्स बैकडोर से यूक्रेन के सशस्त्र बलों द्वारा उपयोग किए जाने वाले कंप्यूटर सिस्टम को संक्रमित करने के उद्देश्य से एक लक्षित साइबर हमले की भी चेतावनी दी है।

CERT-UA के अनुसार, एक अज्ञात व्यक्ति ने कई सैन्य कर्मियों के बीच सिग्नल मैसेंजर के माध्यम से '1_ф_5.39-2024.xlsm' नाम का एक XLS दस्तावेज़ वितरित किया, जिसमें रिपोर्ट निर्माण में समस्या होने का दावा किया गया। उक्त फ़ाइल में एक अतिरिक्त VBA स्क्रिप्ट थी जिसने 'mob2002.data' नामक PowerShell स्क्रिप्ट के डाउनलोड और निष्पादन को ट्रिगर किया।

GitHub से डाउनलोड की गई PowerShell स्क्रिप्ट OS रजिस्ट्री में कुछ बदलाव करती है। अधिक विशेष रूप से, यह 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' में बेस64-एन्कोडेड पेलोड छोड़ता है, जो अंततः कुकबॉक्स मैलवेयर को निष्पादित करता है। कुकबॉक्स एक पावरशेल स्क्रिप्ट है जो पावरशेल सीएमडीलेट्स को डाउनलोड करने और निष्पादित करने के लिए कार्यक्षमता लागू करती है।

कमांड और कंट्रोल सर्वर के संचालन के लिए डायनेमिक DNS सेवाओं (जैसे कि Gotdns.ch, myftp.biz) और क्लाउडफ्लेयर वर्कर्स का उपयोग किया जाता है। शोधकर्ताओं द्वारा बताए गए आंकड़ों के अनुसार, वर्णित गतिविधि, जिसे यूएसी-0149 के रूप में ट्रैक किया गया है, कम से कम शरद ऋतु 2023 से जारी है।