IDAT-lader
Cybersecurity-onderzoekers hebben een aanvalscampagne ontdekt, geïdentificeerd als een bedreiging voor een Oekraïens Trojaans paard genaamd de Remcos RAT, mogelijk gemaakt door een malware-lader die bekend staat als de IDAT Loader. Het Computer Emergency Response Team van Oekraïne (CERT-UA), dat de dreigingsactor volgt als UAC-0184 (TA544), heeft de aanval toegeschreven.
De aanval, uitgevoerd met behulp van IDAT Loader, maakt gebruik van steganografie als techniek. Hoewel steganografische of 'Stego'-technieken algemeen worden erkend. Steganografische technieken omvatten het verbergen van informatie binnen een ander medium, zoals het verbergen van gegevens in afbeeldingen, audiobestanden of andere digitale inhoud, om geheime communicatie mogelijk te maken zonder de aandacht te trekken. Het is van cruciaal belang om hun rol bij het omzeilen van defensiemaatregelen te begrijpen.
Inhoudsopgave
De IDAT Loader vergemakkelijkt de levering van malware-payloads in de volgende fase
De IDAT Loader, die overeenkomsten vertoont met een andere laderfamilie genaamd Hijack Loader, heeft de afgelopen maanden actief verschillende payloads ingezet, waaronder DanaBot , SystemBC en de RedLine Stealer . Deze lader is gebruikt door een bedreigingsacteur geïdentificeerd als TA544 om de Remcos RAT en SystemBC te verspreiden via phishing-aanvallen.
De phishing-campagne, die begin januari 2024 voor het eerst werd onthuld door CERT-UA, omvat het gebruik van aas met oorlogsthema om een infectieketen op gang te brengen. Deze keten leidt uiteindelijk tot de inzet van de IDAT Loader, die gebruik maakt van een ingebedde steganografische PNG om de Remcos RAT te lokaliseren en te extraheren.
De Remcos RAT wordt vaak ingezet in cybercriminele campagnes
De REMCOS RAT is een veelgebruikt Trojaans paard voor externe toegang dat veelvuldig wordt gebruikt bij zowel cybercriminelen als spionageactiviteiten. REMCOS staat bekend om zijn vermogen om de controle over computers over te nemen en kan toetsaanslagen, audio, video, schermafbeeldingen en systeemgegevens verzamelen en tegelijkertijd de levering van extra malware-payloads vergemakkelijken. Meestal wordt deze malware verspreid via phishing-e-mails die kwaadaardige bijlagen of links bevatten, wat leidt tot de installatie van de RAT. Er is met name waargenomen dat REMCOS op verschillende manieren wordt verspreid, waaronder malware-laders. De malware wordt sinds medio 2010 kwaadwillig gebruikt.
Na succesvolle uitvoering van REMCOS krijgen de bedreigingsactoren uitgebreide controle- en surveillancemogelijkheden over het doelsysteem. Hierdoor kunnen ze gedurende een langere periode clandestien gevoelige gegevens exfiltreren, waardoor detectie mogelijk wordt vermeden. Het gebruik van dergelijke gevoelige informatie brengt, afhankelijk van het doelwit, het risico met zich mee dat slachtoffers te maken krijgen met chantage, mogelijk baanverlies als bedrijfsgegevens in gevaar komen, en diefstal van organisatiegegevens. Deze gestolen gegevens kunnen vervolgens worden misbruikt om grootschalige, geavanceerde aanvallen te orkestreren, wat kan resulteren in ernstige en mogelijk onherstelbare schade aan de getroffen organisaties of het levensonderhoud van individuen.
Oekraïne blijft doelwit van cybercriminele aanvallen door hackergroepen die banden hebben met Rusland
CERT-UA heeft ook gewaarschuwd voor een gerichte cyberaanval gericht op het infecteren van de computersystemen die door de strijdkrachten van Oekraïne worden gebruikt met de Cookbox-achterdeur.
Volgens CERT-UA verspreidde een niet-geïdentificeerde persoon een XLS-document met de naam '1_ф_5.39-2024.xlsm' via de Signal-boodschapper onder verschillende militairen, waarbij hij beweerde problemen te hebben met het opstellen van rapporten. Het genoemde bestand bevatte een extra VBA-script dat het downloaden en uitvoeren van een PowerShell-script met de naam 'mob2002.data' activeerde.
Het PowerShell-script dat is gedownload van GitHub brengt enkele wijzigingen aan in het besturingssysteemregister. Meer specifiek laat het een base64-gecodeerde payload achter in 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', die uiteindelijk de Cookbox-malware uitvoert. Cookbox is een PowerShell-script dat functionaliteit implementeert voor het downloaden en uitvoeren van PowerShell-cmdlets.
Voor de werking van command-and-control-servers worden dynamische DNS-services (zoals gotdns.ch, myftp.biz) en Cloudflare Workers gebruikt. De beschreven activiteit, gevolgd als UAC-0149, is al sinds de herfst van 2023 aan de gang, volgens de gegevens die door de onderzoekers zijn onthuld.
