IDAT krautuvas
Kibernetinio saugumo tyrėjai aptiko atakos kampaniją, identifikuotą kaip grėsmę Ukrainos Trojos arkliui, vadinamam Remcos RAT, ir kurią palengvino kenkėjiškų programų įkroviklis, žinomas kaip IDAT Loader. Ukrainos kompiuterinių avarijų reagavimo komanda (CERT-UA), susekusi grėsmės veikėją UAC-0184 (TA544), priskyrė ataką.
Ataka, vykdoma naudojant IDAT Loader, apima steganografiją kaip techniką. Nors steganografiniai arba „Stego“ metodai yra plačiai pripažinti. Steganografiniai metodai apima informacijos slėpimą kitoje laikmenoje, pvz., duomenų slėpimą vaizduose, garso failuose ar kitame skaitmeniniame turinyje, kad būtų galima slaptai bendrauti nepritraukiant dėmesio. Labai svarbu suvokti jų vaidmenį vengiant gynybos priemonių.
Turinys
IDAT įkroviklis palengvina naujos pakopos kenkėjiškų programų naudingų apkrovų pristatymą
IDAT Loader, turintis panašumų su kita krautuvų šeima, pavadinta Hijack Loader, kelis mėnesius aktyviai diegė įvairius naudingus krovinius, įskaitant DanaBot , SystemBC ir RedLine Stealer . Šį įkroviklį panaudojo grėsmės veikėjas, identifikuotas kaip TA544, kad platintų Remcos RAT ir SystemBC per sukčiavimo atakas.
Sukčiavimo kampanija, kurią CERT-UA iš pradžių paskelbė 2024 m. sausio mėn. pradžioje, apima karo temos jaukų naudojimą infekcijos grandinei inicijuoti. Ši grandinė galiausiai veda į IDAT Loader įdiegimą, kuris naudoja įterptąjį steganografinį PNG, kad surastų ir ištrauktų Remcos RAT.
Remcos RAT dažnai naudojamas kibernetinių nusikaltėlių kampanijose
REMCOS RAT yra paplitęs nuotolinės prieigos Trojos arklys, plačiai naudojamas tiek kibernetiniams nusikaltėliams, tiek šnipinėjimui. REMCOS, žinomas dėl savo gebėjimo perimti kompiuterių valdymą, gali rinkti klavišų paspaudimus, garso įrašus, vaizdo įrašus, ekrano kopijas ir sistemos duomenis, taip pat palengvindamas papildomų kenkėjiškų programų apkrovų pristatymą. Paprastai ši kenkėjiška programa platinama per sukčiavimo el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų, dėl kurių įdiegiamas RAT. Pastebėta, kad REMCOS platinamas įvairiomis priemonėmis, įskaitant kenkėjiškų programų kroviklius. Kenkėjiška programa buvo piktybiškai panaudota nuo 2010 m. vidurio.
Sėkmingai įgyvendinus REMCOS, grėsmės veikėjai įgyja visapusiškas tikslinės sistemos kontrolės ir stebėjimo galimybes. Tai leidžia jiems ilgą laiką slaptai išfiltruoti neskelbtinus duomenis ir taip išvengti aptikimo. Naudojant tokią jautrią informaciją, priklausomai nuo tikslo, kyla pavojus, kad aukos susidurs su šantažu, gali prarasti darbą, jei pažeidžiami įmonės duomenys, ir organizacijos duomenų vagystės. Tada šie pagrobti duomenys gali būti panaudoti rengiant didelio masto sudėtingas atakas, dėl kurių nukentėjusioms organizacijoms arba asmenų pragyvenimui būtų padaryta didelė ir galbūt nepataisoma žala.
Ukraina tebėra kibernetinių nusikaltėlių atakų taikiniu, kurį vykdo įsilaužėlių grupuotės, suderintos su Rusija
CERT-UA taip pat perspėjo apie tikslinę kibernetinę ataką, kurios tikslas buvo užkrėsti Ukrainos ginkluotųjų pajėgų naudojamas kompiuterines sistemas Cookbox užpakalinėmis durimis.
Remiantis CERT-UA, nenustatytas asmuo išplatino XLS dokumentą pavadinimu „1_ф_5.39-2024.xlsm“ per „Signal Messenger“ keliems kariškiams, teigdamas, kad turi problemų su ataskaitos formavimu. Minėtame faile buvo papildomas VBA scenarijus, kuris suaktyvino PowerShell scenarijaus, pavadinto „mob2002.data“, atsisiuntimą ir vykdymą.
Iš „GitHub“ atsisiųstas „PowerShell“ scenarijus atlieka tam tikrus OS registro pakeitimus. Tiksliau sakant, „HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache“ atmeta „Base64“ koduotą naudingą apkrovą, kuri galiausiai paleidžia „Cookbox“ kenkėjišką programą. „Cookbox“ yra „PowerShell“ scenarijus, įgyvendinantis „PowerShell“ cmdlet atsisiuntimo ir vykdymo funkcijas.
Dinaminės DNS paslaugos (pvz., gotdns.ch, myftp.biz) ir „Cloudflare Workers“ naudojamos komandų ir valdymo serveriams valdyti. Tyrėjų atskleistais duomenimis, aprašyta veikla, sekama kaip UAC-0149, tęsiasi mažiausiai nuo 2023 metų rudens.
