Moduł ładujący IDAT
Badacze zajmujący się cyberbezpieczeństwem odkryli kampanię ataków zidentyfikowaną jako zagrożenie dla ukraińskiego trojana o nazwie Remcos RAT, wspomaganą przez moduł ładujący złośliwe oprogramowanie znany jako IDAT Loader. Zespół reagowania na incydenty komputerowe Ukrainy (CERT-UA), śledzący ugrupowanie zagrażające jako UAC-0184 (TA544), przypisał atak.
Atak przeprowadzony przy użyciu programu ładującego IDAT wykorzystuje steganografię jako technikę. Chociaż techniki steganograficzne lub „Stego” są powszechnie znane. Techniki steganograficzne obejmują ukrywanie informacji na innym nośniku, na przykład ukrywanie danych w obrazach, plikach audio lub innych treściach cyfrowych, aby umożliwić tajną komunikację bez przyciągania uwagi. Kluczowe jest zrozumienie ich roli w unikaniu środków obronnych.
Spis treści
Moduł ładujący IDAT ułatwia dostarczanie ładunków złośliwego oprogramowania następnego etapu
IDAT Loader, wykazujący podobieństwa do innej rodziny programów ładujących o nazwie Hijack Loader, przez kilka miesięcy aktywnie wdrażał różne ładunki, w tym DanaBot , SystemBC i RedLine Stealer . Ten moduł ładujący został wykorzystany przez ugrupowanie zagrażające zidentyfikowane jako TA544 do rozpowszechniania Remcos RAT i SystemBC poprzez ataki phishingowe.
Kampania phishingowa, pierwotnie ujawniona przez CERT-UA na początku stycznia 2024 r., polega na wykorzystaniu przynęt o tematyce wojennej w celu zainicjowania łańcucha infekcji. Łańcuch ten ostatecznie prowadzi do wdrożenia modułu ładującego IDAT, który wykorzystuje osadzony steganograficzny plik PNG do zlokalizowania i wyodrębnienia RAT Remcos.
Remcos RAT jest często wykorzystywany w kampaniach cyberprzestępczych
REMCOS RAT jest powszechnym trojanem zdalnego dostępu, szeroko stosowanym zarówno w przedsięwzięciach cyberprzestępczych, jak i szpiegowskich. Znany ze swojej zdolności do przejmowania kontroli nad komputerami, REMCOS może gromadzić naciśnięcia klawiszy, dźwięk, wideo, zrzuty ekranu i dane systemowe, ułatwiając jednocześnie dostarczanie dodatkowych ładunków złośliwego oprogramowania. Zazwyczaj to złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub łącza, co prowadzi do instalacji RAT. Warto zauważyć, że REMCOS był dystrybuowany za pomocą różnych środków, w tym programów ładujących złośliwe oprogramowanie. Szkodnik ten jest złośliwie wykorzystywany od połowy 2010 roku.
Po pomyślnym wykonaniu REMCOS cyberprzestępcy uzyskują wszechstronne możliwości kontroli i nadzoru nad systemem docelowym. Dzięki temu mogą potajemnie wydobywać wrażliwe dane przez dłuższy czas, potencjalnie unikając wykrycia. Wykorzystanie takich poufnych informacji, w zależności od celu, niesie ze sobą ryzyko, że ofiary staną w obliczu szantażu, potencjalnej utraty pracy w przypadku naruszenia bezpieczeństwa danych firmy oraz kradzieży danych organizacyjnych. Te wykradzione dane można następnie wykorzystać do zorganizowania wyrafinowanych ataków na dużą skalę, których skutkiem mogą być poważne i prawdopodobnie nieodwracalne szkody dla dotkniętych organizacji lub źródeł utrzymania poszczególnych osób.
Ukraina pozostaje celem ataków cyberprzestępczych grup hakerskich sprzymierzonych z Rosją
CERT-UA ostrzegł także o ukierunkowanym cyberataku, którego celem było zainfekowanie backdoorem Cookbox systemów komputerowych używanych przez Siły Zbrojne Ukrainy.
Według CERT-UA niezidentyfikowana osoba rozesłała dokument XLS o nazwie „1_ф_5.39-2024.xlsm” za pośrednictwem komunikatora Signal wśród kilku pracowników wojskowych, twierdząc, że ma problemy z utworzeniem raportu. Wspomniany plik zawierał dodatkowy skrypt VBA, który uruchamiał pobranie i wykonanie skryptu PowerShell o nazwie „mob2002.data”.
Skrypt PowerShell pobrany z GitHub wprowadza pewne zmiany w rejestrze systemu operacyjnego. Mówiąc dokładniej, upuszcza ładunek zakodowany w formacie base64 w kluczu „HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache”, który ostatecznie uruchamia złośliwe oprogramowanie Cookbox. Cookbox to skrypt PowerShell, który implementuje funkcjonalność pobierania i wykonywania poleceń cmdlet PowerShell.
Usługi dynamicznego DNS (takie jak gotdns.ch, myftp.biz) i Cloudflare Workers są wykorzystywane do obsługi serwerów dowodzenia i kontroli. Z danych ujawnionych przez badaczy wynika, że opisana aktywność, oznaczona jako UAC-0149, trwa co najmniej od jesieni 2023 roku.
