IDAT iekrāvējs
Kiberdrošības pētnieki ir atklājuši uzbrukuma kampaņu, kas identificēta kā drauds Ukrainas Trojas zirgam ar nosaukumu Remcos RAT, ko veicināja ļaunprātīgas programmatūras ielādētājs, kas pazīstams kā IDAT Loader. Ukrainas datoru avārijas reaģēšanas komanda (CERT-UA), izsekojot apdraudējuma dalībnieku kā UAC-0184 (TA544), ir piedēvējusi uzbrukumu.
Uzbrukums, kas veikts, izmantojot IDAT Loader, ietver steganogrāfiju kā paņēmienu. Lai gan steganogrāfiskās jeb “Stego” metodes ir plaši atzītas. Steganogrāfijas metodes ietver informācijas slēpšanu citā datu nesējā, piemēram, datu slēpšanu attēlos, audio failos vai citā digitālā saturā, lai nodrošinātu slēptu saziņu, nepiesaistot uzmanību. Ir ļoti svarīgi saprast viņu lomu, izvairoties no aizsardzības pasākumiem.
Satura rādītājs
IDAT iekrāvējs atvieglo nākamās pakāpes ļaunprātīgas programmatūras lietderīgās slodzes piegādi
IDAT Loader, kam ir līdzības ar citu iekrāvēju saimi ar nosaukumu Hijack Loader, vairākus mēnešus ir aktīvi izvietojis dažādas lietderīgās slodzes, tostarp DanaBot , SystemBC un RedLine Stealer . Šo iekrāvēju ir izmantojis apdraudējuma dalībnieks, kas identificēts kā TA544, lai izplatītu Remcos RAT un SystemBC, izmantojot pikšķerēšanas uzbrukumus.
Pikšķerēšanas kampaņā, ko CERT-UA sākotnēji atklāja 2024. gada janvāra sākumā, tiek izmantota ar karu saistīta ēsma, lai uzsāktu infekcijas ķēdi. Šī ķēde galu galā noved pie IDAT Loader izvietošanas, kas izmanto iegulto steganogrāfisko PNG, lai atrastu un izvilktu Remcos RAT.
Remcos RAT bieži tiek izmantots kibernoziedznieku kampaņās
REMCOS RAT ir izplatīts attālās piekļuves Trojas zirgs, ko plaši izmanto gan kibernoziedznieku, gan spiegošanas pasākumos. REMCOS, kas ir slavena ar spēju pārņemt datoru kontroli, var apkopot taustiņsitienus, audio, video, ekrānuzņēmumus un sistēmas datus, vienlaikus atvieglojot papildu ļaunprātīgas programmatūras slodzes piegādi. Parasti šī ļaunprogrammatūra tiek izplatīta, izmantojot pikšķerēšanas e-pasta ziņojumus, kas satur ļaunprātīgus pielikumus vai saites, kā rezultātā tiek instalēta RAT. Jāatzīmē, ka REMCOS tiek izplatīts, izmantojot dažādus līdzekļus, tostarp ļaunprātīgas programmatūras ielādes. Ļaunprātīga programmatūra ir ļaunprātīgi izmantota kopš 2010. gadu vidus.
Veiksmīgi izpildot REMCOS, apdraudējuma dalībnieki iegūst visaptverošas kontroles un uzraudzības iespējas pār mērķa sistēmu. Tas viņiem ļauj ilgstoši slepeni izfiltrēt sensitīvus datus, iespējams, izvairoties no atklāšanas. Šādas sensitīvas informācijas izmantošana atkarībā no mērķa rada risku, ka upuri saskarsies ar šantāžu, iespēja zaudēt darbu, ja uzņēmuma dati tiek apdraudēti, un organizācijas datu zādzība. Šos nozagtos datus pēc tam varētu izmantot, lai organizētu liela mēroga, sarežģītus uzbrukumus, radot nopietnu un, iespējams, neatgriezenisku kaitējumu ietekmētajām organizācijām vai indivīdu iztikas līdzekļiem.
Ukraina joprojām ir ar Krieviju pieskaņotu hakeru grupu kibernoziedznieku uzbrukumu mērķis
CERT-UA arī brīdinājusi par mērķtiecīgu kiberuzbrukumu, kura mērķis ir inficēt Ukrainas bruņoto spēku izmantotās datorsistēmas ar Cookbox aizmugures durvīm.
Saskaņā ar CERT-UA sniegto informāciju neidentificēta persona ar Signal Messenger starpniecību izplatīja XLS dokumentu ar nosaukumu '1_ф_5.39-2024.xlsm' starp vairākiem militārpersonām, apgalvojot, ka viņam ir problēmas ar ziņojumu veidošanu. Minētajā failā bija papildu VBA skripts, kas aktivizēja PowerShell skripta ar nosaukumu "mob2002.data" lejupielādi un izpildi.
PowerShell skripts, kas lejupielādēts no GitHub, veic dažas izmaiņas OS reģistrā. Konkrētāk, tas nolaiž base64 kodētu lietderīgo slodzi mapē HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache, kas galu galā izpilda Cookbox ļaunprātīgu programmatūru. Cookbox ir PowerShell skripts, kas ievieš PowerShell cmdlet lejupielādes un izpildes funkcionalitāti.
Komandu un vadības serveru darbībai tiek izmantoti dinamiskie DNS pakalpojumi (piemēram, gotdns.ch, myftp.biz) un Cloudflare Workers. Aprakstītā darbība, kas izsekota kā UAC-0149, turpinās vismaz kopš 2023. gada rudens, liecina pētnieku atklātie dati.
