IDAT-laster
Cybersikkerhetsforskere har oppdaget en angrepskampanje, identifisert som en trussel mot en ukrainsk trojan kalt Remcos RAT, tilrettelagt av en malware-laster kjent som IDAT Loader. Computer Emergency Response Team of Ukraine (CERT-UA), som sporer trusselaktøren som UAC-0184 (TA544), har tilskrevet angrepet.
Angrepet, utført ved bruk av IDAT Loader, inkluderer steganografi som en teknikk. Selv om steganografiske, eller 'Stego', teknikker er allment anerkjent. Steganografiske teknikker innebærer å skjule informasjon i et annet medium, for eksempel å skjule data i bilder, lydfiler eller annet digitalt innhold, for å muliggjøre skjult kommunikasjon uten å tiltrekke seg oppmerksomhet. Det er avgjørende å forstå deres rolle i å unndra forsvarstiltak.
Innholdsfortegnelse
IDAT-lasteren letter leveringen av nyttelaster for neste trinn av skadelig programvare
IDAT Loader, som har likheter med en annen lasterfamilie kalt Hijack Loader, har aktivt distribuert forskjellige nyttelaster, inkludert DanaBot , SystemBC og RedLine Stealer, over flere måneder. Denne lasteren har blitt brukt av en trusselaktør identifisert som TA544 for å spre Remcos RAT og SystemBC gjennom phishing-angrep.
Phishing-kampanjen, som opprinnelig ble avslørt av CERT-UA tidlig i januar 2024, innebærer bruk av agn med krigstema for å starte en infeksjonskjede. Denne kjeden fører til slutt til utplasseringen av IDAT Loader, som bruker en innebygd steganografisk PNG for å finne og trekke ut Remcos RAT.
Remcos RAT brukes ofte i nettkriminelle kampanjer
REMCOS RAT står som en utbredt fjerntilgangstrojaner som er mye brukt i både nettkriminelle og spionasjearbeid. REMCOS er kjent for sin evne til å ta kontroll over datamaskiner, og kan samle tastetrykk, lyd, video, skjermbilder og systemdata, samtidig som det forenkler leveringen av ytterligere skadelig programvare. Vanligvis spres denne skadelige programvaren gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker, noe som fører til installasjon av RAT. Spesielt har REMCOS blitt observert å bli distribuert på forskjellige måter, inkludert malware-lastere. Skadevaren har vært skadelig brukt siden midten av 2010-tallet.
Ved vellykket utførelse av REMCOS får trusselaktørene omfattende kontroll- og overvåkingsevner over målsystemet. Dette gjør dem i stand til hemmelig å eksfiltrere sensitive data over en lengre periode, og potensielt unngå oppdagelse. Bruken av slik sensitiv informasjon, avhengig av målet, medfører risiko for at ofre blir utsatt for utpressing, potensielt tap av jobb dersom bedriftsdata blir kompromittert, og tyveri av organisasjonsdata. Disse stjålne dataene kan deretter utnyttes til å orkestrere store, sofistikerte angrep, noe som resulterer i alvorlig og muligens uopprettelig skade på de berørte organisasjonene eller enkeltpersoners levebrød.
Ukraina er fortsatt et mål for nettkriminelle angrep fra hackergrupper på linje med Russland
CERT-UA har også advart om et målrettet nettangrep rettet mot å infisere datasystemene som brukes av Ukrainas væpnede styrker med Cookbox-bakdøren.
I følge CERT-UA distribuerte en uidentifisert person et XLS-dokument kalt '1_ф_5.39-2024.xlsm' via Signal Messenger blant flere militært personell, og hevdet å ha problemer med rapportdannelse. Den nevnte filen inneholdt et ekstra VBA-skript som utløste nedlasting og kjøring av et PowerShell-skript kalt 'mob2002.data.'
PowerShell-skriptet lastet ned fra GitHub gjør noen endringer i OS-registeret. Mer spesifikt slipper den en base64-kodet nyttelast i 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache,' som til slutt kjører Cookbox-malwaren. Cookbox er et PowerShell-skript som implementerer funksjonalitet for nedlasting og kjøring av PowerShell-cmdlets.
Dynamiske DNS-tjenester (som gotdns.ch, myftp.biz) og Cloudflare Workers brukes til drift av kommando- og kontrollservere. Den beskrevne aktiviteten, sporet som UAC-0149, har pågått siden minst høsten 2023, ifølge dataene avslørt av forskerne.
