Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „TransferLoader“ kenkėjiška programa

„TransferLoader“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Saugumo tyrėjai sieja liūdnai pagarsėjusius veikėjus, slypinčius už „RomCom RAT“ ir kenkėjiškų programų įkėlimo programą, vadinamą „TransferLoader“. Ši kampanija, kurios metu šnipinėjimo ir išpirkos reikalaujančių programų atakos buvo nukreiptos į subjektus, atskleidžia sudėtingus metodus ir persidengiančias infrastruktūras, kurias reikia atidžiai stebėti.

Du grėsmių veikėjų klasteriai: TA829 ir UNK_GreenSec

Kibernetinio saugumo tyrėjai su „TransferLoader“ susijusią veiklą priskyrė dviem pagrindinėms grėsmių veikėjų grupėms:

  • TA829, taip pat sekamas tokiais slapyvardžiais kaip „RomCom RAT“, „CIGAR“, „Nebulous Mantis“, „Storm-0978“, „Tropical Scorpius“, UAC-0180, UAT-5647, UNC2596 ir „Void Rabisu“.
  • „UNK_GreenSec“ – mažiau žinomas klasteris, veikiantis lygiagrečiai su panašia taktika.

TA829 ypač žinomas dėl savo hibridinių operacijų, derindamas šnipinėjimą ir finansiškai motyvuotas atakas. Ši su Rusija susijusi grupuotė anksčiau pasinaudojo „Mozilla Firefox“ ir „Microsoft Windows“ nulinės dienos pažeidžiamumais, kad dislokuotų „RomCom RAT“, taikydama į didelės vertės pasaulines organizacijas.

„TransferLoader“: atsiradimas ir vaidmuo kenkėjiškų programų kampanijose

„TransferLoader“ pirmą kartą buvo identifikuotas 2025 m. vasarį kampanijos metu, susijusio su „Morpheus“ išpirkos reikalaujančia programa – pervadinta „HellCat“ išpirkos reikalaujančios programos versija. Kenkėjiška programa buvo panaudota prieš neįvardintą JAV įsikūrusią advokatų kontorą. Skirtingai nuo „RomCom“, „TransferLoader“ pirmiausia veikia kaip slaptas pristatymo mechanizmas, leidžiantis dislokuoti papildomas kenkėjiškas programas, tokias kaip „Metasploit“ ir „Morpheus“.

„TransferLoader“ misija paprasta: likti nepastebėtam ir toliau platinti kenkėjiškas programas.

REM tarpinio serverio infrastruktūros išnaudojimas

Ir TA829, ir UNK_GreenSec naudoja REM tarpinio serverio paslaugas, kurios dažnai talpinamos pažeistuose „MikroTik“ maršrutizatoriuose. Šie tarpiniai serveriai naudojami kenkėjiškam srautui nukreipti, užmaskuojant tikrąją jo kilmę. Grupės naudoja šią infrastruktūrą:

  • Siųskite sukčiavimo el. laiškus per nemokamas pašto paslaugas (pvz., „Gmail“, ukr.net)
  • Perduokite srautą, kad paslėptumėte siunčiančiąją veiklą
  • Pradėkite kampanijas naudodami tiek naujai sukurtas, tiek pažeistas el. pašto paskyras

Tyrėjai įtaria, kad el. pašto kūrimo įrankiai, tokie kaip ximajazehox333@gmail.com ir hannahsilva1978@ukr.net, masiškai generuojantys siuntėjų adresus, naudojami sukčiavimo platinimui.

Sukčiavimo apsimetant mechanika ir naudingojo krovinio pristatymas

Abiejų grupių siunčiamuose sukčiavimo laiškuose dažnai būna nuorodų, įterptų į el. laiško tekstą arba PDF priedus. Aukos, spustelėjusios šias nuorodas, yra nukreipiamos per „Rebrandly“ ir galiausiai patenka į netikrus „Google“ disko arba „Microsoft OneDrive“ puslapius. Šie nukreipimai apima mechanizmus, skirtus:

  • Apeiti smėlio dėžės aplinkas
  • Išfiltruokite nedominančias sistemas
  • Pristatykite skirtingus galutinius naudinguosius krovinius, priklausomai nuo grėsmių grupės

Skirtingi atakos keliai :

  • „UNK_GreenSec“ naudoja šį maršrutą „TransferLoader“ diegimui
  • TA829 nukreipia taikinius į „SlipScreen“ kenkėjišką programą

Bendri įrankiai ir infrastruktūra

Abi veikėjų grupės demonstruoja sutampančius įrankių rinkinius ir infrastruktūros pasirinkimus:

  • „PuTTY“ PLINK įrankio naudojimas SSH tuneliams kurti
  • Kenkėjiškų programų talpinimas IPFS (tarpplanetinės failų sistemos) paslaugose
  • Dinaminių PHP pagrįstų peradresavimo galinių taškų naudojimas srauto filtravimui

Šie bendri metodai rodo galimą veiksmingų taktikų koordinavimą arba abipusį jų taikymą.

Socialinės inžinerijos temos ir jų įgyvendinimo taktika

Kampanijos, kuriose dalyvauja „TransferLoader“, dažnai maskuojamos kaip darbo pasiūlymų el. laiškai, viliojančios aukas nuorodomis, kurios, kaip teigiama, veda į PDF formato gyvenimo aprašymus. Iš tikrųjų nuoroda suaktyvina „TransferLoader“, talpinamo IPFS internetinėse bendrose svetainėse, atsisiuntimą.

Pagrindiniai „TransferLoader“ operacijų techniniai aspektai

Išvengia aptikimo – Naudoja peradresavimą, filtravimą ir decentralizuotą talpinimą, kad apeitų tradicines apsaugos priemones.

Naudingosios apkrovos pristatymas – veikia kaip pavojingesnių kenkėjiškų programų, įskaitant išpirkos reikalaujančias programas ir nuotolinės prieigos įrankius, įkėlėjas.

Diferencijuoti metodai – naudoja unikalias peradresavimo struktūras („JavaScript“ į PHP galinius taškus), kad palaikytų dinaminį turinio teikimą.

Išvada: „TransferLoader“ grėsmės supratimas

„TransferLoader“ kelia didelę grėsmę kaip slaptas įkėlimo įrankis, galintis sudaryti sąlygas didelio poveikio atakoms. Jį naudoja ir „UNK_GreenSec“, ir „TA829“, tai rodo, kaip kibernetinių nusikaltėlių grupuotės toliau kuria naujoves, dalijasi įrankiais ir išnaudoja decentralizuotą infrastruktūrą, kad išvengtų aptikimo ir pasiektų savo tikslus.

„TransferLoader“ grėsmės rodikliai:

  • REM tarpinio serverio paslaugų naudojimas
  • El. laiškai su nuorodomis į darbo paraiškas arba gyvenimo aprašymus
  • Peradresavimo grandinės, susijusios su „Rebrandly“ nuorodomis
  • Naudingieji kroviniai, talpinami IPFS pagrindu sukurtose platformose

Organizacijos privalo išlikti budrios, įdiegti patikimą el. pašto ir interneto filtravimą ir nuolat stebėti su šia taktika susijusį neįprastą tinklo elgesį.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,407
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...