Oprogramowanie TransferLoader

Badacze bezpieczeństwa dostrzegają powiązania między znanymi aktorami stojącymi za RomCom RAT a programem ładującym złośliwe oprogramowanie o nazwie TransferLoader. Ta kampania, która miała na celu podmioty za pomocą ataków szpiegowskich i ransomware, podkreśla wyrafinowane techniki i nakładające się infrastruktury, które wymagają dokładnej kontroli.

Dwa klastry podmiotów zagrożenia: TA829 i UNK_GreenSec

Badacze zajmujący się cyberbezpieczeństwem przypisują aktywność TransferLoadera dwóm głównym grupom podmiotów stanowiących zagrożenie:

• TA829, śledzony także pod takimi aliasami jak RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 i Void Rabisu.
• UNK_GreenSec, mniej znany klaster działający równolegle przy użyciu podobnych taktyk.

TA829 wyróżnia się szczególnie swoimi hybrydowymi operacjami, łączącymi szpiegostwo i ataki motywowane finansowo. Ta powiązana z Rosją grupa wcześniej wykorzystała luki typu zero-day w Mozilla Firefox i Microsoft Windows do wdrożenia RomCom RAT, atakując globalne organizacje o wysokiej wartości.

TransferLoader: Pojawienie się i rola w kampaniach malware

TransferLoader został po raz pierwszy zidentyfikowany w lutym 2025 r. podczas kampanii z udziałem Morpheus ransomware, przemianowanej wersji HellCat ransomware. Złośliwe oprogramowanie zostało użyte przeciwko anonimowej kancelarii prawnej z siedzibą w USA. W przeciwieństwie do RomCom, TransferLoader służy przede wszystkim jako ukryty mechanizm dostarczania, umożliwiający wdrażanie dodatkowych złośliwych ładunków, takich jak Metasploit i Morpheus.

Misja TransferLoadera jest prosta: pozostać niewykrytym i rozprzestrzeniać więcej złośliwego oprogramowania.

Wykorzystanie infrastruktury proxy REM

Zarówno TA829, jak i UNK_GreenSec polegają na usługach REM Proxy, które są często hostowane na zainfekowanych routerach MikroTik. Te proxy są używane do kierowania złośliwym ruchem, maskując jego prawdziwe pochodzenie. Grupy używają tej infrastruktury do:

• Wysyłaj wiadomości e-mail typu phishing za pośrednictwem bezpłatnych usług pocztowych (np. Gmail, ukr.net)
• Przekaż ruch, aby ukryć aktywność w górę rzeki
• Uruchom kampanie, korzystając zarówno z nowo utworzonych, jak i naruszonych kont e-mail

Badacze podejrzewają, że narzędzia do tworzenia wiadomości e-mail, które masowo generują adresy nadawcy, takie jak ximajazehox333@gmail.com i hannahsilva1978@ukr.net, są wykorzystywane do rozprzestrzeniania wiadomości phishingowych.

Mechanika phishingu i dostarczanie ładunku

Wiadomości phishingowe wysyłane przez oba klastry często zawierają linki osadzone w treści wiadomości e-mail lub załącznikach PDF. Ofiary, które klikają te linki, są poddawane łańcuchowi przekierowań za pośrednictwem Rebrandly, ostatecznie trafiając na podrobione strony Google Drive lub Microsoft OneDrive. Te przekierowania obejmują mechanizmy do:

• Omiń środowiska piaskownicy
• Odfiltruj systemy, które Cię nie interesują
• Dostarcz różne ładunki końcowe w zależności od grupy zagrożeń

Rozbieżne ścieżki ataku :

• UNK_GreenSec używa tej trasy do wdrożenia TransferLoadera
• TA829 przekierowuje cele do złośliwego oprogramowania SlipScreen

Wspólne narzędzia i infrastruktura

Obie grupy aktorów prezentują pokrywające się zestawy narzędzi i wybory infrastrukturalne:

• Wykorzystanie narzędzia PLINK programu PuTTY do tworzenia tuneli SSH
• Hostowanie złośliwych narzędzi w usługach IPFS (InterPlanetary File System)
• Wykorzystanie dynamicznych punktów końcowych przekierowań opartych na PHP do filtrowania ruchu

Wspólne metody sugerują możliwą koordynację lub wzajemne przyjęcie skutecznych taktyk.

Tematyka inżynierii społecznej i taktyki dostarczania

Kampanie z udziałem TransferLoadera często maskują się jako e-maile z ofertami pracy, wabiąc ofiary linkami rzekomo prowadzącymi do życiorysów w formacie PDF. W rzeczywistości link uruchamia pobieranie TransferLoadera hostowanego na udostępnianych w sieciach IPFS.

Najważniejsze informacje techniczne dotyczące operacji TransferLoader

Unika wykrycia – wykorzystuje przekierowania, filtrowanie i zdecentralizowany hosting, aby ominąć tradycyjne zabezpieczenia.

Payload Delivery – Działa jako ładowarka dla bardziej niebezpiecznego złośliwego oprogramowania, w tym oprogramowania wymuszającego okup i narzędzi do zdalnego dostępu.

Zróżnicowane techniki – wykorzystuje unikalne struktury przekierowań (z JavaScript do punktów końcowych PHP) w celu obsługi dynamicznego dostarczania treści.

Wnioski: Zrozumienie zagrożenia TransferLoader

TransferLoader stanowi poważne zagrożenie jako ukryty program ładujący, który umożliwia ataki o dużym wpływie. Jego użycie przez UNK_GreenSec i TA829 ilustruje, w jaki sposób grupy cyberprzestępców nadal wprowadzają innowacje, dzielą się narzędziami i wykorzystują zdecentralizowaną infrastrukturę, aby uniknąć wykrycia i osiągnąć swoje cele.

Wskaźnikami zagrożenia TransferLoader są m.in.:

• Korzystanie z usług proxy REM
• Wiadomości e-mail zachęcają do składania podań o pracę lub wysyłania życiorysów
• Łańcuchy przekierowań obejmujące linki Rebrandly
• Ładunki hostowane na platformach opartych na IPFS

Organizacje muszą zachować czujność, wdrożyć skuteczne filtrowanie poczty e-mail i stron internetowych oraz stale monitorować nietypowe zachowania sieciowe związane z tymi taktykami.