Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware TransferLoader kártevő

TransferLoader kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Biztonsági kutatók összefüggéseket fedeznek fel a RomCom RAT mögött álló hírhedt szereplők és a TransferLoader nevű kártevő-betöltő között. Ez a kémkedéssel és zsarolóvírus-támadásokkal szervezeteket célzó kampány kifinomult technikákat és átfedő infrastruktúrákat mutat be, amelyek alapos vizsgálatot igényelnek.

Két fenyegetéskezelő klaszter: TA829 és UNK_GreenSec

A kiberbiztonsági kutatók a TransferLoaderhez kapcsolódó tevékenységet két fő fenyegető szereplőcsoportnak tulajdonították:

  • TA829, amelyet olyan álnevek alatt is nyomon követnek, mint a RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 és Void Rabisu.
  • Az UNK_GreenSec, egy kevésbé ismert klaszter, amely párhuzamosan működik hasonló taktikákkal.

A TA829 különösen figyelemre méltó hibrid műveleteiről, amelyek kémkedést és pénzügyi indíttatású támadásokat ötvöznek. Ez az Oroszországgal együttműködő csoport korábban a Mozilla Firefox és a Microsoft Windows nulladik napi sebezhetőségeit kihasználva telepítette a RomCom RAT vírust, amely nagy értékű globális szervezeteket célzott meg.

TransferLoader: Felbukkanása és szerepe a kártevő kampányokban

A TransferLoader vírust először 2025 februárjában azonosították egy Morpheus zsarolóvírust, a HellCat zsarolóvírus átnevezett változatát érintő kampány során. A rosszindulatú programot egy meg nem nevezett amerikai székhelyű ügyvédi iroda ellen használták. A RomCommal ellentétben a TransferLoader elsősorban egy rejtett kézbesítési mechanizmusként szolgál, lehetővé téve további rosszindulatú csomagok, például a Metasploit és a Morpheus telepítését.

A TransferLoader küldetése egyszerű: észrevétlen maradni és további kártevőket szállítani.

REM Proxy infrastruktúra kihasználása

Mind a TA829, mind az UNK_GreenSec a REM Proxy szolgáltatásokra támaszkodik, amelyeket gyakran feltört MikroTik routereken üzemeltetnek. Ezeket a proxykat a rosszindulatú forgalom irányítására használják, elrejtve annak valódi eredetét. A csoportok ezt az infrastruktúrát a következőkre használják:

  • Adathalász e-mailek küldése ingyenes levelezési szolgáltatásokon keresztül (pl. Gmail, ukr.net)
  • Forgalom továbbítása az upstream tevékenység elrejtéséhez
  • Kampányok indítása újonnan létrehozott és feltört e-mail fiókok használatával

A kutatók gyanítják, hogy olyan e-mail szerkesztő eszközöket használnak, amelyek tömegesen generálnak feladói címeket, mint például a ximajazehox333@gmail.com és a hannahsilva1978@ukr.net, adathalász terjesztés céljából.

Adathalászati mechanizmusok és hasznos teher kézbesítése

Mindkét csoport által küldött adathalász üzenetek gyakran tartalmaznak az e-mail törzsébe vagy PDF-mellékletekbe ágyazott linkeket. Az ezekre a linkekre kattintó áldozatok a Rebrandly-n keresztül átirányítások láncolatának vannak kitéve, amelyek végül hamis Google Drive vagy Microsoft OneDrive oldalakra jutnak. Ezek az átirányítások a következő mechanizmusokat tartalmazzák:

  • Tesztkörnyezetek megkerülése
  • Szűrje ki a nem érdekes rendszereket
  • Különböző végső hasznos terhek kézbesítése a fenyegetéscsoporttól függően

Eltérő támadási útvonalak :

  • Az UNK_GreenSec ezt az útvonalat használja a TransferLoader telepítéséhez
  • A TA829 átirányítja a célpontokat a SlipScreen rosszindulatú programra

Megosztott eszközök és infrastruktúra

Mindkét szereplőcsoport átfedő eszközkészleteket és infrastrukturális választási lehetőségeket mutat:

  • A PuTTY PLINK segédprogramjának használata SSH alagutak létrehozásához
  • Kártékony segédprogramok üzemeltetése IPFS (InterPlanetary File System) szolgáltatásokon
  • Dinamikus PHP-alapú átirányítási végpontok kihasználása a forgalom szűréséhez

Ezek a megosztott módszerek a hatékony taktikák lehetséges koordinációját vagy kölcsönös elfogadását sugallják.

Szociális manipuláció témái és megvalósítási taktikái

A TransferLoadert használó kampányok gyakran álláslehetőségeket kínáló e-maileknek álcázzák magukat, és PDF formátumú önéletrajzokra mutató linkekkel csábítják az áldozatokat. A valóságban a link a TransferLoader letöltését indítja el, amelyet az IPFS webmegosztásokon tárol.

A TransferLoader műveletek legfontosabb technikai jellemzői

Megkerüli az észlelést – Átirányítást, szűrést és decentralizált tárhelyet használ a hagyományos védelmi mechanizmusok megkerülésére.

Hasznos adatátvitel – Betöltőként működik a veszélyesebb kártevők, például a zsarolóvírusok és a távoli hozzáférést biztosító eszközök számára.

Differenciált technikák – Egyedi átirányítási struktúrákat (JavaScript-PHP végpontok) alkalmaz a dinamikus tartalomszolgáltatás támogatására.

Konklúzió: A TransferLoader fenyegetésének megértése

A TransferLoader jelentős fenyegetést jelent, mivel egy rejtett betöltő, amely nagy hatású támadásokat tesz lehetővé. Az UNK_GreenSec és a TA829 általi használata jól mutatja, hogy a kiberbűnözői csoportok hogyan folytatják az innovációt, az eszközök megosztását és a decentralizált infrastruktúra kihasználását az észlelés elkerülése és céljaik elérése érdekében.

A TransferLoader fenyegetés jelzői a következők:

  • REM Proxy szolgáltatások használata
  • E-mailes csalik, amelyek álláspályázatokra vagy önéletrajzokra hivatkoznak
  • Rebrandly linkeket tartalmazó átirányítási láncok
  • IPFS-alapú platformokon tárolt hasznos adatok

A szervezeteknek továbbra is ébernek kell lenniük, robusztus e-mail- és webszűrést kell bevezetniük, és folyamatosan figyelniük kell az ezekhez a taktikákhoz kapcsolódó rendellenes hálózati viselkedést.

Felkapott

Legnézettebb

Betöltés...