Încărcător IDAT
Cercetătorii în domeniul securității cibernetice au descoperit o campanie de atac, identificată ca o amenințare la adresa unui troian ucrainean numit Remcos RAT, facilitată de un încărcător de malware cunoscut sub numele de IDAT Loader. Echipa Ucrainei de Răspuns în Situații de Urgență Informatică (CERT-UA), care urmărește actorul amenințării ca UAC-0184 (TA544), a atribuit atacul.
Atacul, executat prin utilizarea IDAT Loader, încorporează steganografia ca tehnică. Deși tehnicile steganografice, sau „Stego”, sunt recunoscute pe scară largă. Tehnicile steganografice implică ascunderea informațiilor într-un alt mediu, cum ar fi ascunderea datelor în imagini, fișiere audio sau alt conținut digital, pentru a permite comunicarea sub acoperire fără a atrage atenția. Este esențial să înțelegem rolul lor în eludarea măsurilor de apărare.
Cuprins
Încărcătorul IDAT facilitează livrarea încărcăturilor utile de malware din etapa următoare
IDAT Loader, având asemănări cu o altă familie de încărcătoare numită Hijack Loader, a implementat în mod activ diverse încărcături utile, inclusiv DanaBot , SystemBC și RedLine Stealer, timp de câteva luni. Acest încărcător a fost folosit de un actor de amenințare identificat ca TA544 pentru a disemina Remcos RAT și SystemBC prin atacuri de tip phishing.
Campania de phishing, dezvăluită inițial de CERT-UA la începutul lunii ianuarie 2024, implică utilizarea momelilor cu tematică de război pentru a iniția un lanț de infecție. Acest lanț duce în cele din urmă la implementarea IDAT Loader, care utilizează un PNG steganografic încorporat pentru a localiza și extrage Remcos RAT.
Remcos RAT este adesea implementat în campanii criminale cibernetice
REMCOS RAT este un troian de acces la distanță răspândit, utilizat pe scară largă atât în demersurile criminale cibernetice, cât și în cele de spionaj. Renumit pentru capacitatea sa de a prelua controlul computerelor, REMCOS poate aduna apăsări de taste, sunet, video, capturi de ecran și date de sistem, facilitând totodată livrarea de încărcături suplimentare de malware. De obicei, acest malware este propagat prin e-mailuri de phishing care conțin atașamente sau link-uri rău intenționate, ducând la instalarea RAT. În special, s-a observat că REMCOS este distribuit prin diferite mijloace, inclusiv prin încărcătoare de malware. Malware-ul a fost utilizat în mod rău intenționat de la mijlocul anilor 2010.
După executarea cu succes a REMCOS, actorii amenințărilor obțin capacități complete de control și supraveghere asupra sistemului țintă. Acest lucru le permite să exfiltreze în mod clandestin date sensibile pe o perioadă îndelungată, evitând eventual detectarea. Utilizarea unor astfel de informații sensibile, în funcție de țintă, implică riscul ca victimele să se confrunte cu șantaj, potențiale pierderi de locuri de muncă dacă datele companiei sunt compromise și furtul datelor organizaționale. Aceste date furate ar putea fi apoi exploatate pentru a orchestra atacuri sofisticate la scară largă, care au drept rezultat prejudicii grave și posibil ireparabile pentru organizațiile sau mijloacele de trai ale persoanelor afectate.
Ucraina rămâne o țintă a atacurilor infracționale cibernetice din partea unor grupuri de hackeri aliniate cu Rusia
De asemenea, CERT-UA a avertizat cu privire la un atac cibernetic vizat, care vizează infectarea sistemelor informatice utilizate de Forțele Armate ale Ucrainei cu ușa din spate Cookbox.
Potrivit CERT-UA, o persoană neidentificată a distribuit un document XLS numit „1_ф_5.39-2024.xlsm” prin intermediul mesajului Signal printre mai mulți militari, susținând că are probleme cu formarea raportului. Fișierul menționat conținea un script VBA suplimentar care a declanșat descărcarea și execuția unui script PowerShell numit „mob2002.data”.
Scriptul PowerShell descărcat de pe GitHub face unele modificări în registrul sistemului de operare. Mai precis, elimină o sarcină utilă codificată base64 în „HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache”, care în cele din urmă execută malware-ul Cookbox. Cookbox este un script PowerShell care implementează funcționalitatea pentru descărcarea și executarea cmdlet-urilor PowerShell.
Serviciile DNS dinamice (cum ar fi gotdns.ch, myftp.biz) și Cloudflare Workers sunt utilizate pentru operarea serverelor de comandă și control. Activitatea descrisă, urmărită ca UAC-0149, este în desfășurare cel puțin din toamna anului 2023, potrivit datelor dezvăluite de cercetători.
