Caricatore IDAT
I ricercatori di sicurezza informatica hanno scoperto una campagna di attacco, identificata come una minaccia per un trojan ucraino chiamato Remcos RAT, facilitata da un caricatore di malware noto come IDAT Loader. Il Computer Emergency Response Team of Ukraine (CERT-UA), che rintraccia l'autore della minaccia come UAC-0184 (TA544), ha attribuito l'attacco.
L'attacco, eseguito tramite l'utilizzo di IDAT Loader, incorpora la steganografia come tecnica. Sebbene le tecniche steganografiche, o "Stego", siano ampiamente riconosciute. Le tecniche steganografiche implicano l'occultamento di informazioni all'interno di un altro mezzo, ad esempio l'occultamento di dati all'interno di immagini, file audio o altri contenuti digitali, per consentire comunicazioni segrete senza attirare l'attenzione. È fondamentale comprendere il loro ruolo nell’eludere le misure di difesa.
Sommario
Il caricatore IDAT facilita la distribuzione dei payload malware della fase successiva
IDAT Loader, che presenta somiglianze con un'altra famiglia di caricatori denominata Hijack Loader, ha distribuito attivamente vari payload, tra cui DanaBot , SystemBC e RedLine Stealer, per diversi mesi. Questo caricatore è stato utilizzato da un attore di minacce identificato come TA544 per diffondere Remcos RAT e SystemBC attraverso attacchi di phishing.
La campagna di phishing, inizialmente resa pubblica dal CERT-UA all’inizio di gennaio 2024, prevede l’utilizzo di esche a tema bellico per avviare una catena di infezione. Questa catena porta infine alla distribuzione dell'IDAT Loader, che utilizza un PNG steganografico incorporato per individuare ed estrarre il Remcos RAT.
Il RAT Remcos viene spesso utilizzato nelle campagne dei criminali informatici
Il REMCOS RAT è un trojan di accesso remoto diffuso ampiamente utilizzato sia in attività di criminalità informatica che di spionaggio. Rinomato per la sua capacità di prendere il controllo dei computer, REMCOS può raccogliere sequenze di tasti, audio, video, schermate e dati di sistema, facilitando al tempo stesso la distribuzione di ulteriori payload di malware. In genere, questo malware si propaga tramite e-mail di phishing contenenti allegati o collegamenti dannosi, che portano all'installazione di RAT. In particolare, è stato osservato che REMCOS viene distribuito attraverso vari mezzi, inclusi i caricatori di malware. Il malware è stato utilizzato in modo dannoso dalla metà degli anni 2010.
Dopo aver eseguito con successo REMCOS, gli autori delle minacce acquisiscono capacità di controllo e sorveglianza complete sul sistema bersaglio. Ciò consente loro di esfiltrare clandestinamente dati sensibili per un periodo prolungato, evitando potenzialmente il rilevamento. L'utilizzo di tali informazioni sensibili, a seconda dell'obiettivo, comporta il rischio che le vittime subiscano ricatti, potenziale perdita di posti di lavoro se i dati aziendali vengono compromessi e furto di dati organizzativi. Questi dati rubati potrebbero quindi essere sfruttati per orchestrare attacchi sofisticati su larga scala, con conseguenti danni gravi e forse irreparabili alle organizzazioni colpite o ai mezzi di sussistenza degli individui.
L'Ucraina rimane un bersaglio di attacchi criminali informatici da parte di gruppi di hacker allineati con la Russia
Il CERT-UA ha inoltre avvertito di un attacco informatico mirato volto a infettare i sistemi informatici utilizzati dalle Forze Armate ucraine con la backdoor Cookbox.
Secondo CERT-UA, un individuo non identificato ha distribuito un documento XLS denominato "1_ф_5.39-2024.xlsm" tramite Signal Messenger tra diversi membri del personale militare, sostenendo di avere problemi con la formazione del rapporto. Il suddetto file conteneva uno script VBA aggiuntivo che attivava il download e l'esecuzione di uno script PowerShell denominato "mob2002.data".
Lo script PowerShell scaricato da GitHub apporta alcune modifiche al registro del sistema operativo. Più specificamente, rilascia un payload con codifica base64 in "HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache", che alla fine esegue il malware Cookbox. Cookbox è uno script di PowerShell che implementa funzionalità per il download e l'esecuzione dei cmdlet di PowerShell.
Per il funzionamento dei server di comando e controllo vengono utilizzati servizi DNS dinamici (come gotdns.ch, myftp.biz) e Cloudflare Workers. L’attività descritta, tracciata come UAC-0149, è in corso almeno dall’autunno 2023, secondo i dati rivelati dai ricercatori.
