Pemuat IDAT
Penyelidik keselamatan siber telah menemui kempen serangan, yang dikenal pasti sebagai ancaman kepada Trojan Ukraine yang dipanggil Remcos RAT, yang difasilitasi oleh pemuat perisian hasad yang dikenali sebagai IDAT Loader. Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA), menjejaki pelakon ancaman sebagai UAC-0184 (TA544), telah mengaitkan serangan itu.
Serangan, yang dilaksanakan melalui penggunaan IDAT Loader, menggabungkan steganografi sebagai teknik. Walaupun teknik steganografi, atau 'Stego,' diiktiraf secara meluas. Teknik steganografi melibatkan menyembunyikan maklumat dalam medium lain, seperti menyembunyikan data dalam imej, fail audio atau kandungan digital lain, untuk membolehkan komunikasi rahsia tanpa menarik perhatian. Adalah penting untuk memahami peranan mereka dalam mengelak langkah pertahanan.
Isi kandungan
Pemuat IDAT Memudahkan Penghantaran Muatan Perisian Hasad Peringkat Seterusnya
Pemuat IDAT, mempunyai persamaan dengan keluarga pemuat lain bernama Pemuat Hijack, telah secara aktif menggunakan pelbagai muatan, termasuk DanaBot , SystemBC dan RedLine Stealer, selama beberapa bulan. Pemuat ini telah digunakan oleh aktor ancaman yang dikenal pasti sebagai TA544 untuk menyebarkan Remcos RAT dan SystemBC melalui serangan pancingan data.
Kempen pancingan data, yang pada mulanya didedahkan oleh CERT-UA pada awal Januari 2024, melibatkan penggunaan umpan bertema perang untuk memulakan rantaian jangkitan. Rantaian ini akhirnya membawa kepada penggunaan IDAT Loader, yang menggunakan PNG steganografi terbenam untuk mencari dan mengekstrak RAT Remcos.
RAT Remcos Selalunya Digunakan dalam Kempen Jenayah Siber
REMCOS RAT berdiri sebagai Trojan Akses Jauh yang lazim digunakan secara meluas dalam kedua-dua usaha jenayah siber dan pengintipan. Terkenal dengan keupayaannya untuk merampas kawalan komputer, REMCOS boleh mengumpulkan ketukan kekunci, audio, video, tangkapan skrin dan data sistem sambil turut memudahkan penghantaran muatan perisian hasad tambahan. Biasanya, perisian hasad ini disebarkan melalui e-mel pancingan data yang mengandungi lampiran atau pautan berniat jahat, yang membawa kepada pemasangan RAT. Terutamanya, REMCOS telah diperhatikan untuk diedarkan melalui pelbagai cara, termasuk pemuat perisian hasad. Malware telah digunakan secara jahat sejak pertengahan 2010-an.
Setelah melaksanakan REMCOS dengan jayanya, pelaku ancaman memperoleh kawalan komprehensif dan keupayaan pengawasan ke atas sistem sasaran. Ini membolehkan mereka mengeluarkan data sensitif secara rahsia dalam tempoh yang panjang, yang berpotensi mengelakkan pengesanan. Penggunaan maklumat sensitif sedemikian, bergantung pada sasaran, membawa risiko mangsa yang menghadapi pemerasan, potensi kehilangan pekerjaan jika data syarikat dikompromi, dan kecurian data organisasi. Data yang dicuri ini kemudiannya boleh dieksploitasi untuk mengatur serangan berskala besar dan canggih, mengakibatkan kemudaratan teruk dan mungkin tidak boleh diperbaiki kepada organisasi atau mata pencarian individu yang terjejas.
Ukraine Kekal Sasaran Serangan Penjenayah Siber oleh Kumpulan Penggodam yang Sejajar dengan Rusia
CERT-UA juga telah memberi amaran tentang serangan siber yang disasarkan yang bertujuan untuk menjangkiti sistem komputer yang digunakan oleh Angkatan Tentera Ukraine dengan pintu belakang Cookbox.
Menurut CERT-UA, seorang individu yang tidak dikenali mengedarkan dokumen XLS bernama '1_ф_5.39-2024.xlsm' melalui utusan Isyarat di kalangan beberapa anggota tentera, mendakwa mempunyai masalah dengan pembentukan laporan. Fail tersebut mengandungi skrip VBA tambahan yang mencetuskan muat turun dan pelaksanaan skrip PowerShell bernama 'mob2002.data.'
Skrip PowerShell yang dimuat turun daripada GitHub membuat beberapa perubahan dalam pendaftaran OS. Lebih khusus lagi, ia menurunkan muatan berkod base64 dalam 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache,' yang akhirnya melaksanakan perisian hasad Cookbox. Cookbox ialah skrip PowerShell yang melaksanakan fungsi untuk memuat turun dan melaksanakan cmdlet PowerShell.
Perkhidmatan DNS dinamik (seperti gotdns.ch, myftp.biz) dan Cloudflare Workers digunakan untuk pengendalian pelayan arahan dan kawalan. Aktiviti yang diterangkan, yang dijejaki sebagai UAC-0149, telah berterusan sejak sekurang-kurangnya musim luruh 2023, menurut data yang didedahkan oleh penyelidik.
