IDAT लोडर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले एउटा आक्रमण अभियान पत्ता लगाएका छन्, जसलाई Remcos RAT भनिने युक्रेनी ट्रोजनलाई खतराको रूपमा पहिचान गरिएको छ, जसलाई IDAT लोडर भनेर चिनिने मालवेयर लोडरले सहयोग गरेको छ। UAC-0184 (TA544) को रूपमा खतरा अभिनेतालाई ट्र्याक गर्दै युक्रेन (CERT-UA) को कम्प्युटर आपतकालीन प्रतिक्रिया टोलीले आक्रमणको श्रेय दिएको छ।
IDAT लोडरको प्रयोग मार्फत निष्पादित गरिएको आक्रमणले स्टेग्नोग्राफीलाई प्रविधिको रूपमा समावेश गर्दछ। यद्यपि स्टेगानोग्राफिक, वा 'स्टेगो' प्रविधिहरू व्यापक रूपमा मान्यता प्राप्त छन्। स्टेगानोग्राफिक प्रविधिहरूले अन्य माध्यम भित्र जानकारी लुकाउने समावेश गर्दछ, जस्तै छविहरू, अडियो फाइलहरू, वा अन्य डिजिटल सामग्री भित्र डाटा लुकाउने, ध्यान आकर्षित नगरी गुप्त संचार सक्षम गर्न। रक्षा उपायहरू बेवास्ता गर्न तिनीहरूको भूमिका बुझ्न यो महत्त्वपूर्ण छ।
सामग्रीको तालिका
IDAT लोडरले नेक्स्ट-स्टेज मालवेयर पेलोडहरूको डेलिभरीलाई सहज बनाउँछ
हाइज्याक लोडर नामक अर्को लोडर परिवारसँग समानता भएको IDAT लोडरले धेरै महिनादेखि DanaBot , SystemBC , र RedLine Stealer लगायत विभिन्न पेलोडहरू सक्रिय रूपमा प्रयोग गर्दै आएको छ। यस लोडरलाई फिसिङ आक्रमणहरू मार्फत Remcos RAT र SystemBC लाई फैलाउन TA544 को रूपमा पहिचान गरिएको खतरा अभिनेताद्वारा प्रयोग गरिएको छ।
CERT-UA द्वारा जनवरी 2024 को सुरुमा खुलासा गरिएको फिसिङ अभियानमा संक्रमण श्रृंखला सुरु गर्न युद्ध-थीम्ड प्रलोभनहरू प्रयोग गर्ने समावेश छ। यो चेनले अन्ततः IDAT लोडरको डिप्लोइमेन्टमा पुर्याउँछ, जसले Remcos RAT पत्ता लगाउन र निकाल्न एम्बेडेड स्टेगानोग्राफिक PNG प्रयोग गर्छ।
Remcos RAT प्रायः साइबर क्रिमिनल अभियानहरूमा प्रयोग गरिन्छ
REMCOS RAT एक प्रचलित रिमोट एक्सेस ट्रोजनको रूपमा खडा छ जुन साइबर अपराध र जासुसी प्रयासहरूमा व्यापक रूपमा कार्यरत छ। कम्प्यूटरको नियन्त्रण कब्जा गर्ने क्षमताको लागि प्रख्यात, REMCOS ले अतिरिक्त मालवेयर पेलोडहरूको डेलिभरीको सुविधा प्रदान गर्दै किस्ट्रोकहरू, अडियो, भिडियो, स्क्रिनसटहरू, र प्रणाली डेटा सङ्कलन गर्न सक्छ। सामान्यतया, यो मालवेयर मालिसियस एट्याचमेन्ट वा लिङ्कहरू भएको फिसिङ इमेलहरू मार्फत प्रचार गरिन्छ, जसले RAT को स्थापना गर्न नेतृत्व गर्दछ। उल्लेखनीय रूपमा, REMCOS मालवेयर लोडरहरू सहित विभिन्न माध्यमहरू मार्फत वितरण गरिएको अवलोकन गरिएको छ। मालवेयर 2010 को मध्य देखि दुर्भावनापूर्ण रूपमा प्रयोग गरिएको छ।
REMCOS को सफल कार्यान्वयनमा, खतरा अभिनेताहरूले लक्ष्य प्रणालीमा व्यापक नियन्त्रण र निगरानी क्षमताहरू प्राप्त गर्छन्। यसले तिनीहरूलाई विस्तारित अवधिमा गुप्त रूपमा संवेदनशील डेटा निकाल्न सक्षम बनाउँछ, सम्भावित रूपमा पत्ता लगाउनबाट जोगिन। यस्तो संवेदनशील जानकारीको उपयोग, लक्ष्यको आधारमा, पीडितहरूले ब्ल्याकमेलको सामना गर्ने, कम्पनीको डाटामा सम्झौता भएको खण्डमा सम्भावित जागिर गुमाउने, र संगठनात्मक डेटाको चोरीको जोखिम बोक्छ। यस पिलफर्ड डाटालाई ठूलो मात्रामा, परिष्कृत आक्रमणहरू गर्नको लागि प्रयोग गर्न सकिन्छ, जसले प्रभावित संस्था वा व्यक्तिहरूको जीविकोपार्जनमा गम्भीर र सम्भवतः अपूरणीय क्षति पुर्याउँछ।
युक्रेन रसियासँग सम्बद्ध ह्याकर समूहहरूद्वारा साइबर आपराधिक हमलाहरूको लक्ष्य बनी रहन्छ
CERT-UA ले युक्रेनको सशस्त्र बलद्वारा प्रयोग गरिएका कम्प्युटर प्रणालीहरूलाई कुकबक्स ब्याकडोरबाट संक्रमित गर्ने उद्देश्यले लक्षित साइबर आक्रमणको चेतावनी दिएको छ।
CERT-UA का अनुसार, एक अज्ञात व्यक्तिले '1_ф_5.39-2024.xlsm' नामको XLS कागजात धेरै सैन्य कर्मचारीहरू बीच सिग्नल मेसेन्जर मार्फत वितरण गर्यो, रिपोर्ट गठनमा समस्या भएको दाबी गर्दै। उक्त फाइलमा अतिरिक्त VBA स्क्रिप्ट थियो जसले 'mob2002.data' नामको PowerShell स्क्रिप्टको डाउनलोड र कार्यान्वयनलाई ट्रिगर गर्यो।
GitHub बाट डाउनलोड गरिएको PowerShell स्क्रिप्टले OS रेजिस्ट्रीमा केही परिवर्तनहरू गर्दछ। थप विशेष रूपमा, यसले 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' मा base64-इन्कोडेड पेलोड छोड्छ, जसले अन्ततः कुकबक्स मालवेयरलाई कार्यान्वयन गर्छ। कुकबक्स एक PowerShell स्क्रिप्ट हो जसले PowerShell cmdlets डाउनलोड र कार्यान्वयनको लागि कार्यक्षमता लागू गर्दछ।
गतिशील DNS सेवाहरू (जस्तै gotdns.ch, myftp.biz) र Cloudflare कार्यकर्ताहरू आदेश र नियन्त्रण सर्भरहरूको सञ्चालनको लागि प्रयोग गरिन्छ। वर्णित गतिविधि, UAC-0149 को रूपमा ट्र्याक गरिएको, कम्तिमा 2023 को शरद ऋतु देखि चलिरहेको छ, अनुसन्धानकर्ताहरु द्वारा खुलासा डाटा अनुसार।
