Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver TransferLoader

Zlonamjerni softver TransferLoader

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Sigurnosni istraživači povezuju ozloglašene aktere koji stoje iza RomCom RAT-a i programa za učitavanje zlonamjernog softvera pod nazivom TransferLoader. Ova kampanja, koja je ciljala entitete špijunskim i ransomware napadima, ističe sofisticirane tehnike i preklapajuće infrastrukture koje zahtijevaju pomnu provjeru.

Dva klastera aktera prijetnji: TA829 i UNK_GreenSec

Istraživači kibernetičke sigurnosti pripisali su aktivnosti povezane s TransferLoaderom dvjema primarnim skupinama prijetnji:

  • TA829, također praćen pod pseudonimima kao što su RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 i Void Rabisu.
  • UNK_GreenSec, manje poznati klaster koji djeluje paralelno sa sličnim taktikama.

TA829 je posebno poznat po svojim hibridnim operacijama, kombinirajući špijunažu i financijski motivirane napade. Ova skupina povezana s Rusijom prethodno je iskoristila zero-day ranjivosti u Mozilla Firefoxu i Microsoft Windowsu za implementaciju RomCom RAT-a, ciljajući globalne organizacije visoke vrijednosti.

TransferLoader: Pojava i uloga u kampanjama zlonamjernog softvera

TransferLoader je prvi put identificiran u veljači 2025. tijekom kampanje koja je uključivala Morpheus ransomware, rebrendiranu verziju HellCat ransomwarea. Zlonamjerni softver korišten je protiv neimenovane američke odvjetničke tvrtke. Za razliku od RomComa, TransferLoader prvenstveno služi kao prikriveni mehanizam za isporuku, omogućujući implementaciju dodatnih zlonamjernih sadržaja poput Metasploita i Morpheusa.

TransferLoaderova misija je jednostavna: ostati neotkriven i širiti daljnji zlonamjerni softver.

Iskorištavanje REM proxy infrastrukture

I TA829 i UNK_GreenSec oslanjaju se na REM proxy usluge, koje se često nalaze na kompromitiranim MikroTik usmjerivačima. Ovi proxyji se koriste za usmjeravanje zlonamjernog prometa, prikrivajući njegovo pravo podrijetlo. Grupe koriste ovu infrastrukturu za:

  • Slanje phishing e-poruka putem besplatnih usluga pošte (npr. Gmail, ukr.net)
  • Relejni promet za skrivanje uzvodne aktivnosti
  • Pokrenite kampanje koristeći i novokreirane i kompromitirane račune e-pošte

Istraživači sumnjaju na korištenje alata za izradu e-pošte koji masovno generiraju adrese pošiljatelja poput ximajazehox333@gmail.com i hannahsilva1978@ukr.net za distribuciju phishinga.

Mehanika krađe identiteta i isporuka korisnog tereta

Phishing poruke koje šalju oba klastera često sadrže poveznice ugrađene u tijelo e-pošte ili PDF privitke. Žrtve koje kliknu na te poveznice podvrgnute su lancu preusmjeravanja putem Rebrandlyja, te na kraju završe na lažnim stranicama Google diska ili Microsoft OneDrivea. Ta preusmjeravanja uključuju mehanizme za:

  • Zaobiđi okruženja sandboxa
  • Filtrirajte sustave koji vas ne zanimaju
  • Isporučite različite konačne korisne terete ovisno o skupini prijetnji

Divergentni putevi napada :

  • UNK_GreenSec koristi ovu rutu za implementaciju TransferLoader-a
  • TA829 preusmjerava mete na zlonamjerni softver SlipScreen

Zajednički alati i infrastruktura

Obje skupine aktera pokazuju preklapajuće skupove alata i izbore infrastrukture:

  • Korištenje PuTTY-jevog PLINK uslužnog programa za uspostavljanje SSH tunela
  • Hosting zlonamjernih uslužnih programa na IPFS (InterPlanetary File System) servisima
  • Korištenje dinamičkih krajnjih točaka preusmjeravanja temeljenih na PHP-u za filtriranje prometa

Ove zajedničke metode sugeriraju moguću koordinaciju ili međusobno usvajanje učinkovitih taktika.

Teme i taktike društvenog inženjeringa

Kampanje koje uključuju TransferLoader često se maskiraju kao e-poruke s prilikama za posao, mameći žrtve poveznicama koje tvrde da vode do životopisa u PDF formatu. U stvarnosti, poveznica pokreće preuzimanje TransferLoadera koji se nalazi na IPFS web stranicama.

Ključne tehničke značajke operacija TransferLoadera

Izbjegava otkrivanje – Koristi preusmjeravanje, filtriranje i decentralizirani hosting kako bi zaobišao tradicionalne obrane.

Dostava korisnog tereta – Djeluje kao program za učitavanje opasnijeg zlonamjernog softvera, uključujući ransomware i alate za daljinski pristup.

Diferencirane tehnike – Koristi jedinstvene strukture preusmjeravanja (JavaScript u PHP krajnje točke) za podršku dinamičkoj isporuci sadržaja.

Zaključak: Razumijevanje prijetnje TransferLoadera

TransferLoader predstavlja značajnu prijetnju kao prikriveni program za učitavanje podataka sposoban omogućiti napade visokog utjecaja. Njegova upotreba od strane UNK_GreenSec-a i TA829 ilustrira kako kibernetičke kriminalne skupine nastavljaju inovirati, dijeliti alate i iskorištavati decentraliziranu infrastrukturu kako bi izbjegle otkrivanje i postigle svoje ciljeve.

Pokazatelji prijetnje TransferLoadera uključuju:

  • Korištenje REM proxy usluga
  • Mamljive e-poruke s referencama na prijave za posao ili životopise
  • Preusmjerni lanci koji uključuju Rebrandly poveznice
  • Korisni tereti smješteni na platformama temeljenim na IPFS-u

Organizacije moraju ostati budne, implementirati robusno filtriranje e-pošte i weba te kontinuirano pratiti abnormalno ponašanje mreže povezano s tim taktikama.

U trendu

Nagledanije

Učitavam...