Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare TransferLoader-skadevare

TransferLoader-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Sikkerhetsforskere trekker forbindelser mellom de beryktede aktørene bak RomCom RAT og en skadevarelaster kalt TransferLoader. Denne kampanjen, som har rettet seg mot enheter med spionasje- og ransomware-angrep, fremhever sofistikerte teknikker og overlappende infrastrukturer som krever nøye gransking.

To trusselaktørklynger: TA829 og UNK_GreenSec

Forskere innen nettsikkerhet har tilskrevet TransferLoader-relatert aktivitet til to primære trusselaktørgrupper:

  • TA829, også sporet under alias som RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 og Void Rabisu.
  • UNK_GreenSec, en mindre kjent klynge som opererer parallelt med lignende taktikker.

TA829 er spesielt kjent for sine hybridoperasjoner, som kombinerer spionasje og økonomisk motiverte angrep. Denne Russland-tilknyttede gruppen har tidligere utnyttet nulldagssårbarheter i Mozilla Firefox og Microsoft Windows for å distribuere RomCom RAT, rettet mot globale organisasjoner med høy verdi.

TransferLoader: Fremvekst og rolle i skadevarekampanjer

TransferLoader ble først identifisert i februar 2025 under en kampanje som involverte Morpheus ransomware, en omdøpt versjon av HellCat ransomware. Skadevaren ble brukt mot et ikke navngitt, amerikansk advokatfirma. I motsetning til RomCom fungerer TransferLoader primært som en skjult leveringsmekanisme, som muliggjør utplassering av ytterligere ondsinnede nyttelaster som Metasploit og Morpheus.

TransferLoaders oppdrag er enkelt: å forbli uoppdaget og levere ytterligere skadelig programvare.

Utnyttelse av REM-proxyinfrastruktur

Både TA829 og UNK_GreenSec er avhengige av REM Proxy-tjenester, som ofte ligger på kompromitterte MikroTik-rutere. Disse proxyene brukes til å rute ondsinnet trafikk og skjule dens sanne opprinnelse. Gruppene bruker denne infrastrukturen til å:

  • Send phishing-e-poster via gratis e-posttjenester (f.eks. Gmail, ukr.net)
  • Relétrafikk for å skjule oppstrømsaktivitet
  • Lansér kampanjer med både nyopprettede og kompromitterte e-postkontoer

Forskere mistenker bruk av e-postverktøy som massegenererer avsenderadresser som ximajazehox333@gmail.com og hannahsilva1978@ukr.net for phishing-distribusjon.

Phishing-mekanikk og levering av nyttelast

Phishing-meldingene som sendes av begge klyngene inneholder ofte lenker innebygd i e-postens brødtekst eller PDF-vedlegg. Ofre som klikker på disse lenkene blir utsatt for en rekke omdirigeringer via Rebrandly, som til slutt lander på forfalskede Google Drive- eller Microsoft OneDrive-sider. Disse omdirigeringene inkluderer mekanismer for å:

  • Omgå sandkassemiljøer
  • Filtrer ut systemer som ikke er av interesse
  • Lever forskjellige endelige nyttelaster avhengig av trusselgruppen

Divergerende angrepsveier :

  • UNK_GreenSec bruker denne ruten til å distribuere TransferLoader
  • TA829 omdirigerer mål til SlipScreen-skadevare

Delte verktøy og infrastruktur

Begge aktørgruppene demonstrerer overlappende verktøysett og infrastrukturvalg:

  • Bruk av PuTTYs PLINK-verktøy for å etablere SSH-tunneler
  • Hosting av skadelige verktøy på IPFS-tjenester (InterPlanetary File System)
  • Utnyttelse av dynamiske PHP-baserte omdirigeringsendepunkter for trafikkfiltrering

Disse delte metodene antyder mulig koordinering eller gjensidig bruk av effektive taktikker.

Sosialmanipulerende temaer og leveringstaktikker

Kampanjer som involverer TransferLoader utgir seg ofte for å være e-poster med jobbmuligheter, og lokker ofre med lenker som hevder å føre til PDF-CV-er. I virkeligheten utløser lenken en nedlasting av TransferLoader som ligger på IPFS-nettdelinger.

Viktige tekniske høydepunkter ved TransferLoader-operasjoner

Unngår deteksjon – Bruker omdirigering, filtrering og desentralisert hosting for å omgå tradisjonelle forsvarsmekanismer.

Nyttelastlevering – Fungerer som en laster for farligere skadelig programvare, inkludert ransomware og verktøy for ekstern tilgang.

Differensierte teknikker – Bruker unike omdirigeringsstrukturer (JavaScript til PHP-endepunkter) for å støtte dynamisk innholdslevering.

Konklusjon: Forstå TransferLoader-trusselen

TransferLoader representerer en betydelig trussel som en snikende laster som er i stand til å muliggjøre angrep med høy effekt. Bruken av både UNK_GreenSec og TA829 illustrerer hvordan nettkriminelle grupper fortsetter å innovere, dele verktøy og utnytte desentralisert infrastruktur for å unngå oppdagelse og nå sine mål.

Indikatorer på TransferLoader-trusselen inkluderer:

  • Bruk av REM Proxy-tjenester
  • E-post lokker med henvisning til jobbsøknader eller CV-er
  • Omdiriger kjeder som involverer Rebrandly-lenker
  • Nyttelaster som ligger på IPFS-baserte plattformer

Organisasjoner må være årvåkne, implementere robust e-post- og nettfiltrering og kontinuerlig overvåke unormal nettverksadferd knyttet til disse taktikkene.

Trender

Mest sett

Laster inn...