Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware TransferLoader

Programe malware TransferLoader

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității stabilesc conexiuni între actori notorii din spatele RomCom RAT și un program de încărcare a programelor malware numit TransferLoader. Această campanie, care a vizat entități cu atacuri de spionaj și ransomware, evidențiază tehnici sofisticate și infrastructuri suprapuse care necesită o analiză atentă.

Două grupuri de actori amenințători: TA829 și UNK_GreenSec

Cercetătorii în domeniul securității cibernetice au atribuit activitatea legată de TransferLoader la două grupuri principale de actori amenințători:

  • TA829, urmărit și sub aliasuri precum RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 și Void Rabisu.
  • UNK_GreenSec, un cluster mai puțin cunoscut care operează în paralel cu tactici similare.

TA829 este remarcabil în special pentru operațiunile sale hibride, care combină spionajul și atacurile motivate financiar. Acest grup aliniat cu Rusia a folosit anterior vulnerabilități zero-day în Mozilla Firefox și Microsoft Windows pentru a implementa RomCom RAT, vizând organizații globale de mare valoare.

TransferLoader: Apariția și rolul în campaniile de malware

TransferLoader a fost identificat pentru prima dată în februarie 2025 în timpul unei campanii care a implicat ransomware-ul Morpheus, o versiune redenumită a ransomware-ului HellCat. Malware-ul a fost folosit împotriva unei firme de avocatură anonime din SUA. Spre deosebire de RomCom, TransferLoader servește în principal ca un mecanism de livrare ascunsă, permițând implementarea de sarcini utile malițioase suplimentare, cum ar fi Metasploit și Morpheus.

Misiunea TransferLoader este simplă: să rămână nedetectat și să distribuie mai multe programe malware.

Exploatarea infrastructurii proxy REM

Atât TA829, cât și UNK_GreenSec se bazează pe serviciile proxy REM, care sunt adesea găzduite pe routere MikroTik compromise. Aceste proxy-uri sunt folosite pentru a direcționa traficul malițios, deghizând adevărata sa origine. Grupurile folosesc această infrastructură pentru:

  • Trimiteți e-mailuri de tip phishing prin intermediul serviciilor gratuite de e-mail (de exemplu, Gmail, ukr.net)
  • Trafic de retransmitere pentru a ascunde activitatea din amonte
  • Lansați campanii folosind atât conturi de e-mail nou create, cât și compromise

Cercetătorii suspectează utilizarea instrumentelor de creare a e-mailurilor care generează în masă adrese de expeditori, precum ximajazehox333@gmail.com și hannahsilva1978@ukr.net, pentru distribuirea de mesaje de phishing.

Mecanica phishing-ului și livrarea sarcinii utile

Mesajele de phishing trimise de ambele grupuri conțin adesea linkuri încorporate în corpul e-mailului sau în atașamente PDF. Victimele care dau clic pe aceste linkuri sunt supuse unui lanț de redirecționări prin intermediul Rebrandly, ajungând în cele din urmă pe pagini false din Google Drive sau Microsoft OneDrive. Aceste redirecționări includ mecanisme pentru:

  • Ocoliți mediile sandbox
  • Filtrați sistemele care nu prezintă interes
  • Livrează sarcini utile finale diferite în funcție de grupul de amenințări

Căi de atac divergente :

  • UNK_GreenSec folosește această rută pentru a implementa TransferLoader
  • TA829 redirecționează țintele către malware-ul SlipScreen

Instrumente și infrastructură partajate

Ambele grupuri de actori demonstrează seturi de instrumente și opțiuni de infrastructură care se suprapun:

  • Utilizarea utilitarului PLINK din PuTTY pentru stabilirea tunelurilor SSH
  • Găzduirea de utilități malițioase pe serviciile IPFS (InterPlanetary File System)
  • Utilizarea punctelor finale de redirecționare dinamice bazate pe PHP pentru filtrarea traficului

Aceste metode comune sugerează o posibilă coordonare sau adoptarea reciprocă a unor tactici eficiente.

Teme de inginerie socială și tactici de livrare

Campaniile care implică TransferLoader se deghizează adesea în e-mailuri cu oportunități de angajare, atrăgând victimele cu linkuri care pretind că duc la CV-uri în format PDF. În realitate, linkul declanșează o descărcare a TransferLoader găzduit pe site-uri web partajate IPFS.

Aspecte tehnice cheie ale operațiunilor TransferLoader

Evitarea detectării – Folosește redirecționarea, filtrarea și găzduirea descentralizată pentru a ocoli apărările tradiționale.

Livrarea încărcării utile – Acționează ca un încărcător pentru programe malware mai periculoase, inclusiv ransomware și instrumente de acces la distanță.

Tehnici diferențiate – Utilizează structuri unice de redirecționare (puncte finale JavaScript către PHP) pentru a susține livrarea dinamică de conținut.

Concluzie: Înțelegerea amenințării TransferLoader

TransferLoader reprezintă o amenințare semnificativă ca un încărcător ascuns capabil să permită atacuri cu impact ridicat. Utilizarea sa atât de către UNK_GreenSec, cât și de către TA829 ilustrează modul în care grupurile infracționale cibernetice continuă să inoveze, să partajeze instrumente și să exploateze infrastructura descentralizată pentru a evita detectarea și a-și atinge obiectivele.

Indicatorii amenințării TransferLoader includ:

  • Utilizarea serviciilor proxy REM
  • Apeluri prin e-mail care fac referire la aplicații de angajare sau CV-uri
  • Lanțuri de redirecționare care implică legături Rebrandly
  • Sarcini utile găzduite pe platforme bazate pe IPFS

Organizațiile trebuie să rămână vigilente, să implementeze o filtrare robustă a e-mailurilor și a site-urilor web și să monitorizeze continuu comportamentul anormal al rețelei legat de aceste tactici.

Trending

Cele mai văzute

Se încarcă...