IDAT betöltő
A kiberbiztonsági kutatók egy támadási kampányt fedeztek fel, amelyet egy ukrán trójai, a Remcos RAT nevű fenyegetésként azonosítottak, és amelyet az IDAT Loader néven ismert rosszindulatú programbetöltő segített. Az ukrán Computer Emergency Response Team (CERT-UA), amely a fenyegetés szereplőjét UAC-0184 (TA544) néven követi, a támadásnak tulajdonította.
Az IDAT Loader használatával végrehajtott támadás a szteganográfiát alkalmazza technikaként. Bár a szteganográfiai vagy „Stego” technikák széles körben elismertek. A szteganográfiai technikák magukban foglalják az információk egy másik médiumon belüli elrejtését, például az adatok elrejtését képekben, hangfájlokban vagy más digitális tartalomban, hogy lehetővé tegyék a rejtett kommunikációt anélkül, hogy felhívnák magukra a figyelmet. Kulcsfontosságú, hogy megértsük a védelmi intézkedések kijátszásában betöltött szerepüket.
Tartalomjegyzék
Az IDAT Loader megkönnyíti a rosszindulatú programok következő szakaszának kiszállítását
Az IDAT Loader, amely hasonlóságot mutat egy másik Hijack Loader nevű betöltőcsaláddal, több hónapon keresztül aktívan telepített különféle hasznos adatokat, köztük a DanaBotot , a SystemBC-t és a RedLine Stealer-t . Ezt a betöltőt egy TA544-ként azonosított fenyegető szereplő alkalmazta a Remcos RAT és SystemBC terjesztésére adathalász támadásokon keresztül.
Az adathalász kampány, amelyet a CERT-UA kezdetben 2024. január elején tett közzé, háborús témájú csalikkal jár a fertőzési lánc elindítására. Ez a lánc végül az IDAT Loader telepítéséhez vezet, amely egy beágyazott szteganográfiai PNG-t használ a Remcos RAT megtalálásához és kibontásához.
A Remcos RAT-ot gyakran alkalmazzák kiberbűnözői kampányokban
A REMCOS RAT egy elterjedt távelérési trójai, amelyet széles körben alkalmaznak kiberbűnözési és kémkedési törekvésekben. A számítógépek feletti irányítás átvételére való képességéről híres REMCOS képes billentyűleütéseket, hangot, videót, képernyőképeket és rendszeradatokat gyűjteni, miközben megkönnyíti a további rosszindulatú programok szállítását. Ez a rosszindulatú program általában rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-maileken keresztül terjed, ami a RAT telepítéséhez vezet. Figyelemre méltó, hogy a REMCOS-t különféle eszközökön keresztül terjesztik, beleértve a rosszindulatú programbetöltőket is. A kártevőt a 2010-es évek közepe óta használják rosszindulatúan.
A REMCOS sikeres végrehajtása után a fenyegető szereplők átfogó irányítási és felügyeleti képességeket kapnak a célrendszer felett. Ez lehetővé teszi számukra, hogy hosszabb időn keresztül titkosan kiszűrjék az érzékeny adatokat, elkerülve ezzel az észlelést. Az ilyen érzékeny információk felhasználása – a céltól függően – azzal a kockázattal jár, hogy az áldozatok zsarolással, a vállalati adatok kompromittálódása esetén a munkahely elvesztésével és a szervezeti adatok ellopásával járnak. Ezeket az ellopott adatokat azután nagyszabású, kifinomult támadások lebonyolítására lehet felhasználni, amelyek súlyos és esetleg helyrehozhatatlan károkat okoznak az érintett szervezeteknek vagy egyének megélhetésének.
Ukrajna továbbra is a kiberbűnözői támadások célpontja az Oroszországgal együttműködő hackercsoportok részéről
A CERT-UA egy célzott kibertámadásra is figyelmeztetett, amelynek célja az ukrán fegyveres erők által használt számítógépes rendszerek megfertőzése a Cookbox hátsó ajtóval.
A CERT-UA szerint egy azonosítatlan személy a Signal messengeren keresztül terjesztett egy XLS-dokumentumot több katona között, azt állítva, hogy problémái vannak a jelentéskészítéssel. Az említett fájl egy további VBA-szkriptet tartalmazott, amely elindította a „mob2002.data” nevű PowerShell-szkript letöltését és végrehajtását.
A GitHubról letöltött PowerShell-szkript néhány változtatást hajt végre az operációs rendszer beállításjegyzékében. Pontosabban, egy base64 kódolású hasznos adatot dob el a 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' mappába, amely végül végrehajtja a Cookbox kártevőt. A Cookbox egy PowerShell-szkript, amely a PowerShell-parancsmagok letöltésének és végrehajtásának funkcionalitását valósítja meg.
A dinamikus DNS-szolgáltatásokat (mint például a gotdns.ch, myftp.biz) és a Cloudflare Workers-t a parancs- és vezérlőkiszolgálók működéséhez használják. A leírt, UAC-0149 néven nyomon követett tevékenység a kutatók által feltárt adatok szerint legalább 2023 ősze óta tart.
