Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra TransferLoader ļaunprogrammatūra

TransferLoader ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Drošības pētnieki meklē saistību starp bēdīgi slavenajiem dalībniekiem, kas atrodas aiz RomCom RAT, un ļaunprogrammatūras ielādētāju ar nosaukumu TransferLoader. Šī kampaņa, kuras mērķis ir spiegošana un izspiedējvīrusu uzbrukumi organizācijām, izceļ sarežģītas metodes un pārklājošas infrastruktūras, kurām nepieciešama rūpīga pārbaude.

Divi apdraudējumu izpildītāju klasteri: TA829 un UNK_GreenSec

Kiberdrošības pētnieki ir saistījuši ar TransferLoader saistītās aktivitātes ar divām galvenajām apdraudējumu dalībnieku grupām:

  • TA829, izsekots arī ar tādiem pseidonīmiem kā RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 un Void Rabisu.
  • UNK_GreenSec, mazāk zināms klasteris, kas darbojas paralēli ar līdzīgu taktiku.

TA829 ir īpaši ievērojams ar savām hibrīdajām operācijām, apvienojot spiegošanu un finansiāli motivētus uzbrukumus. Šī ar Krieviju saistītā grupa iepriekš ir izmantojusi nulles dienas ievainojamības Mozilla Firefox un Microsoft Windows, lai izvietotu RomCom RAT, kas ir vērsts pret augstas vērtības globālām organizācijām.

TransferLoader: parādīšanās un loma ļaunprogrammatūras kampaņās

TransferLoader pirmo reizi tika identificēts 2025. gada februārī kampaņas laikā, kurā bija iesaistīts Morpheus izspiedējvīruss — pārdēvēta HellCat izspiedējvīrusa versija. Ļaunprogrammatūra tika izmantota pret nenosauktu ASV juridisko biroju. Atšķirībā no RomCom, TransferLoader galvenokārt kalpo kā slepens piegādes mehānisms, kas ļauj izvietot papildu ļaunprātīgas programmas, piemēram, Metasploit un Morpheus.

TransferLoader misija ir vienkārša: palikt neatklātam un piegādāt turpmāku ļaunprogrammatūru.

REM starpniekservera infrastruktūras izmantošana

Gan TA829, gan UNK_GreenSec izmanto REM starpniekservera pakalpojumus, kas bieži tiek mitināti uz kompromitētiem MikroTik maršrutētājiem. Šie starpniekserveri tiek izmantoti ļaunprātīgas datplūsmas maršrutēšanai, maskējot tās patieso izcelsmi. Grupas izmanto šo infrastruktūru, lai:

  • Sūtīt pikšķerēšanas e-pastus, izmantojot bezmaksas pasta pakalpojumus (piemēram, Gmail, ukr.net)
  • Pārsūtiet datplūsmu, lai paslēptu augšupējo aktivitāti
  • Uzsāciet kampaņas, izmantojot gan jaunizveidotus, gan apdraudētus e-pasta kontus

Pētnieki tur aizdomās par e-pasta veidotāju rīku, kas masveidā ģenerē sūtītāju adreses, piemēram, ximajazehox333@gmail.com un hannahsilva1978@ukr.net, izmantošanu pikšķerēšanas izplatīšanai.

Pikšķerēšanas mehānika un lietderīgās slodzes piegāde

Abu klasteru nosūtītajos pikšķerēšanas ziņojumos bieži ir iekļautas saites, kas iegultas e-pasta pamattekstā vai PDF pielikumos. Cietušie, kas noklikšķina uz šīm saitēm, tiek pakļauti virknei pāradresāciju, izmantojot Rebrandly, un galu galā nonāk viltotās Google Drive vai Microsoft OneDrive lapās. Šīs pāradresācijas ietver mehānismus, kas:

  • Apiet smilškastes vides
  • Filtrējiet sistēmas, kas jūs neinteresē
  • Piegādāt dažādas galīgās slodzes atkarībā no draudu grupas

Atšķirīgi uzbrukuma ceļi :

  • UNK_GreenSec izmanto šo maršrutu, lai izvietotu TransferLoader
  • TA829 novirza mērķus uz SlipScreen ļaunprogrammatūru

Koplietoti rīki un infrastruktūra

Abas dalībnieku grupas demonstrē pārklājošos rīku komplektus un infrastruktūras izvēles:

  • PuTTY PLINK utilītas izmantošana SSH tuneļu izveidei
  • Ļaunprātīgu utilītu mitināšana IPFS (Interplanetary File System) pakalpojumos
  • Dinamisku PHP balstītu pāradresācijas galapunktu izmantošana datplūsmas filtrēšanai

Šīs kopīgās metodes liecina par iespējamu koordināciju vai efektīvas taktikas savstarpēju pieņemšanu.

Sociālās inženierijas tēmas un piegādes taktika

Kampaņas, kurās iesaistīts TransferLoader, bieži maskējas kā e-pasti ar darba iespējām, pievilinot upurus ar saitēm, kas it kā ved uz PDF CV. Patiesībā saite aktivizē TransferLoader lejupielādi, kas tiek mitināta IPFS tīmekļa koplietošanas vietnēs.

TransferLoader darbību galvenie tehniskie aspekti

Izvairās no atklāšanas — izmanto pāradresāciju, filtrēšanu un decentralizētu mitināšanu, lai apietu tradicionālās aizsardzības.

Derīgo datu piegāde — darbojas kā ielādētājs bīstamākai ļaunprogrammatūrai, tostarp izspiedējvīrusiem un attālās piekļuves rīkiem.

Diferencētas metodes — izmanto unikālas pāradresācijas struktūras (no JavaScript uz PHP galapunktiem), lai atbalstītu dinamisko satura piegādi.

Secinājums: TransferLoader draudu izpratne

TransferLoader rada ievērojamu apdraudējumu kā nemanāms ielādētājs, kas spēj nodrošināt spēcīgas ietekmes uzbrukumus. Tā izmantošana gan UNK_GreenSec, gan TA829 ilustrē to, kā kibernoziedznieku grupas turpina ieviest jauninājumus, koplietot rīkus un izmantot decentralizētu infrastruktūru, lai izvairītos no atklāšanas un sasniegtu savus mērķus.

TransferLoader apdraudējuma indikatori ir šādi:

  • REM starpniekservera pakalpojumu izmantošana
  • E-pasta vilinājumi ar atsaucēm uz darba pieteikumiem vai CV
  • Pāradresācijas ķēdes, kas ietver Rebrandly saites
  • Derīgās slodzes, kas tiek mitinātas IPFS platformās

Organizācijām ir jāpaliek modrām, jāievieš spēcīga e-pasta un tīmekļa filtrēšana un nepārtraukti jāuzrauga, vai tīkla darbība nav saistīta ar šīm taktikām.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,407
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...