IDAT učitavač
Istraživači kibernetičke sigurnosti otkrili su kampanju napada, identificiranu kao prijetnju ukrajinskom trojancu pod nazivom Remcos RAT, koju je omogućio učitavač zlonamjernog softvera poznat kao IDAT Loader. Ukrajinski tim za odgovor na računalne hitne slučajeve (CERT-UA), koji prati aktera prijetnje kao UAC-0184 (TA544), pripisao je napad.
Napad, izveden korištenjem IDAT Loadera, uključuje steganografiju kao tehniku. Iako su steganografske ili 'Stego' tehnike široko priznate. Steganografske tehnike uključuju skrivanje informacija unutar drugog medija, kao što je skrivanje podataka unutar slika, audio datoteka ili drugog digitalnog sadržaja, kako bi se omogućila tajna komunikacija bez privlačenja pozornosti. Ključno je shvatiti njihovu ulogu u izbjegavanju obrambenih mjera.
Sadržaj
IDAT Loader olakšava isporuku sljedećeg stupnja zlonamjernog softvera
IDAT Loader, koji ima sličnosti s drugom obitelji učitavača pod nazivom Hijack Loader, aktivno je implementirao različita korisna opterećenja, uključujući DanaBot , SystemBC i RedLine Stealer, tijekom nekoliko mjeseci. Ovaj učitavač koristio je akter prijetnje identificiran kao TA544 za širenje Remcos RAT- a i SystemBC-a putem phishing napada.
Kampanja krađe identiteta, koju je CERT-UA prvi put otkrio početkom siječnja 2024., uključuje korištenje mamaca s ratnom tematikom za pokretanje lanca infekcije. Ovaj lanac u konačnici dovodi do postavljanja IDAT Loadera, koji koristi ugrađeni steganografski PNG za lociranje i izdvajanje Remcos RAT-a.
Remcos RAT često se koristi u kampanjama kibernetičkog kriminala
REMCOS RAT predstavlja prevladavajućeg trojanca za daljinski pristup koji se intenzivno koristi u pokušajima kibernetičkog kriminala i špijunaže. Poznat po svojoj sposobnosti preuzimanja kontrole nad računalima, REMCOS može prikupiti pritiske na tipke, audio, video, snimke zaslona i sistemske podatke, a istovremeno olakšava isporuku dodatnog sadržaja zlonamjernog softvera. Obično se ovaj zlonamjerni softver širi putem phishing e-poruka koje sadrže zlonamjerne privitke ili poveznice, što dovodi do instalacije RAT-a. Primijećeno je da se REMCOS distribuira na različite načine, uključujući učitavače zlonamjernog softvera. Zlonamjerni softver zlonamjerno se koristi od sredine 2010-ih.
Nakon uspješnog izvođenja REMCOS-a, akteri prijetnji dobivaju sveobuhvatne mogućnosti kontrole i nadzora nad ciljnim sustavom. To im omogućuje tajno izvlačenje osjetljivih podataka tijekom duljeg razdoblja, potencijalno izbjegavajući otkrivanje. Korištenje takvih osjetljivih informacija, ovisno o meti, nosi rizik od ucjena žrtava, potencijalnog gubitka posla ako su podaci tvrtke ugroženi i krađe organizacijskih podataka. Ti ukradeni podaci mogli bi se zatim iskoristiti za orkestriranje sofisticiranih napada velikih razmjera, što bi rezultiralo ozbiljnom i možda nepopravljivom štetom za pogođene organizacije ili sredstva za život pojedinaca.
Ukrajina je i dalje meta napada kibernetičkih kriminalaca od strane hakerskih skupina povezanih s Rusijom
CERT-UA je također upozorio na ciljani kibernetički napad čiji je cilj zaraziti računalne sustave koje koriste Oružane snage Ukrajine backdoorom Cookbox.
Prema CERT-UA, neidentificirana osoba je distribuirala XLS dokument pod nazivom '1_f_5.39-2024.xlsm' putem Signal messengera među nekoliko vojnih osoba, tvrdeći da ima problema s oblikovanjem izvješća. Navedena datoteka sadržavala je dodatnu VBA skriptu koja je pokrenula preuzimanje i izvođenje PowerShell skripte pod nazivom 'mob2002.data.'
Skripta PowerShell preuzeta s GitHuba čini neke promjene u registru OS-a. Točnije, ispušta base64-kodirani korisni teret u 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache,' koji u konačnici pokreće zlonamjerni softver Cookbox. Cookbox je PowerShell skripta koja implementira funkcionalnost za preuzimanje i izvršavanje PowerShell cmdleta.
Dinamički DNS servisi (kao što su gotdns.ch, myftp.biz) i Cloudflare Workers koriste se za rad naredbenih i kontrolnih poslužitelja. Opisana aktivnost, praćena kao UAC-0149, traje najmanje od jeseni 2023., prema podacima koje su otkrili istraživači.
