Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad TransferLoader Malware

TransferLoader Malware

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Penyelidik keselamatan menjalin hubungan antara pelakon terkenal di sebalik RAT RomCom dan pemuat perisian hasad yang digelar TransferLoader. Kempen ini, yang telah menyasarkan entiti dengan serangan pengintipan dan perisian tebusan, menyerlahkan teknik canggih dan infrastruktur bertindih yang memerlukan penelitian rapi.

Dua Kluster Pelakon Ancaman: TA829 dan UNK_GreenSec

Penyelidik keselamatan siber telah mengaitkan aktiviti berkaitan TransferLoader kepada dua kumpulan pelaku ancaman utama:

  • TA829, juga dijejaki di bawah alias seperti RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 dan Void Rabisu.
  • UNK_GreenSec, kluster yang kurang dikenali beroperasi selari dengan taktik serupa.

TA829 amat terkenal kerana operasi hibridnya, menggabungkan pengintipan dan serangan bermotifkan kewangan. Kumpulan sejajar Rusia ini sebelum ini telah memanfaatkan kelemahan sifar hari dalam Mozilla Firefox dan Microsoft Windows untuk menggunakan RomCom RAT, menyasarkan organisasi global bernilai tinggi.

TransferLoader: Kemunculan dan Peranan dalam Kempen Perisian Hasad

TransferLoader mula dikenal pasti pada Februari 2025 semasa kempen yang melibatkan perisian tebusan Morpheus, versi penjenamaan semula perisian tebusan HellCat. Malware itu digunakan terhadap firma undang-undang yang tidak dinamakan di AS. Tidak seperti RomCom, TransferLoader terutamanya berfungsi sebagai mekanisme penghantaran yang tersembunyi, membolehkan penggunaan muatan berniat jahat tambahan seperti Metasploit dan Morpheus.

Misi TransferLoader adalah mudah: kekal tidak dapat dikesan dan menghantar perisian hasad selanjutnya.

Memanfaatkan Infrastruktur Proksi REM

Kedua-dua TA829 dan UNK_GreenSec bergantung pada perkhidmatan Proksi REM, yang sering dihoskan pada penghala MikroTik yang terjejas. Proksi ini digunakan untuk menghalakan trafik berniat jahat, menyamarkan asal usulnya yang sebenar. Kumpulan menggunakan infrastruktur ini untuk:

  • Hantar e-mel pancingan data melalui perkhidmatan mel percuma (cth, Gmail, ukr.net)
  • Relay trafik untuk menyembunyikan aktiviti huluan
  • Lancarkan kempen menggunakan akaun e-mel yang baru dibuat dan dikompromi

Penyelidik mengesyaki penggunaan alat pembina e-mel yang menjana alamat pengirim secara besar-besaran seperti ximajazehox333@gmail.com dan hannahsilva1978@ukr.net untuk pengedaran pancingan data.

Mekanik Phishing dan Penghantaran Muatan

Mesej pancingan data yang dihantar oleh kedua-dua kelompok selalunya mengandungi pautan yang dibenamkan dalam badan e-mel atau lampiran PDF. Mangsa yang mengklik pautan ini tertakluk kepada rangkaian ubah hala melalui Rebrandly, akhirnya mendarat di halaman Google Drive atau Microsoft OneDrive yang dipalsukan. Ubah hala ini termasuk mekanisme untuk:

  • Pintas persekitaran kotak pasir
  • Tapis sistem yang tidak diminati
  • Menghantar muatan akhir yang berbeza bergantung pada kumpulan ancaman

Laluan Serangan Bercapah :

  • UNK_GreenSec menggunakan laluan ini untuk menggunakan TransferLoader
  • TA829 mengubah hala sasaran kepada perisian hasad SlipScreen

Alat dan Infrastruktur yang Dikongsi

Kedua-dua kumpulan pelakon menunjukkan set alatan dan pilihan infrastruktur yang bertindih:

  • Penggunaan utiliti PLINK PuTTY untuk mewujudkan terowong SSH
  • Mengehoskan utiliti berniat jahat pada perkhidmatan IPFS (InterPlanetary File System).
  • Memanfaatkan titik ubah hala berasaskan PHP dinamik untuk penapisan trafik

Kaedah perkongsian ini mencadangkan kemungkinan penyelarasan atau penggunaan bersama taktik berkesan.

Tema Kejuruteraan Sosial dan Taktik Penyampaian

Kempen yang melibatkan TransferLoader sering menyamar sebagai e-mel peluang pekerjaan, memikat mangsa dengan pautan yang mendakwa membawa kepada resume PDF. Sebenarnya, pautan itu mencetuskan muat turun TransferLoader yang dihoskan pada perkongsian web IPFS.

Sorotan Teknikal Utama Operasi TransferLoader

Mengelak Pengesanan – Menggunakan pengalihan semula, penapisan dan pengehosan terdesentralisasi untuk memintas pertahanan tradisional.

Penghantaran Muatan – Bertindak sebagai pemuat untuk perisian hasad yang lebih berbahaya, termasuk perisian tebusan dan alat capaian jauh.

Teknik Dibezakan – Menggunakan struktur ubah hala yang unik (JavaScript ke titik akhir PHP) untuk menyokong penyampaian kandungan dinamik.

Kesimpulan: Memahami Ancaman TransferLoader

TransferLoader mewakili ancaman penting sebagai pemuat senyap yang mampu mendayakan serangan berimpak tinggi. Penggunaannya oleh UNK_GreenSec dan TA829 menggambarkan bagaimana kumpulan penjenayah siber terus berinovasi, berkongsi alatan dan mengeksploitasi infrastruktur terdesentralisasi untuk mengelakkan pengesanan dan mencapai matlamat mereka.

Petunjuk ancaman TransferLoader termasuk:

  • Penggunaan perkhidmatan Proksi REM
  • E-mel gewang merujuk permohonan kerja atau resume
  • Ubah hala rantai yang melibatkan pautan Rebrandly
  • Muatan yang dihoskan pada platform berasaskan IPFS

Organisasi mesti sentiasa berwaspada, melaksanakan penapisan e-mel dan web yang mantap serta memantau secara berterusan untuk kelakuan rangkaian tidak normal yang dikaitkan dengan taktik ini.

Trending

Paling banyak dilihat

Memuatkan...