IDAT-загрузчик
Исследователи кибербезопасности обнаружили кампанию атаки, идентифицированную как угроза украинскому трояну под названием Remcos RAT, которой способствовал загрузчик вредоносного ПО, известный как IDAT Loader. Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), отслеживая злоумышленника как UAC-0184 (TA544), определила причину атаки.
Атака, осуществленная с использованием IDAT Loader, использует в качестве метода стеганографию. Хотя стеганографические методы, или «Стего», широко признаны. Стеганографические методы включают сокрытие информации на другом носителе, например, сокрытие данных в изображениях, аудиофайлах или другом цифровом контенте, чтобы обеспечить скрытую связь, не привлекая внимания. Крайне важно понять их роль в уклонении от мер защиты.
Оглавление
Загрузчик IDAT облегчает доставку вредоносных программ следующего этапа
IDAT Loader, имеющий сходство с другим семейством загрузчиков под названием Hijack Loader, в течение нескольких месяцев активно развертывал различные полезные нагрузки, включая DanaBot , SystemBC и RedLine Stealer . Этот загрузчик использовался злоумышленником, известным как TA544, для распространения Remcos RAT и SystemBC посредством фишинговых атак.
Фишинговая кампания, первоначально раскрытая CERT-UA в начале января 2024 года, предполагает использование приманок на военную тематику для запуска цепочки заражения. Эта цепочка в конечном итоге приводит к развертыванию загрузчика IDAT, который использует встроенный стеганографический PNG для обнаружения и извлечения Remcos RAT.
Remcos RAT часто используется в кампаниях киберпреступников
REMCOS RAT представляет собой распространенный троян удаленного доступа, широко используемый как в киберпреступных, так и в шпионских целях. REMCOS, известный своей способностью захватывать контроль над компьютерами, может собирать нажатия клавиш, аудио, видео, снимки экрана и системные данные, а также облегчает доставку дополнительных вредоносных программ. Обычно это вредоносное ПО распространяется через фишинговые электронные письма, содержащие вредоносные вложения или ссылки, что приводит к установке RAT. Примечательно, что REMCOS распространяется различными способами, включая загрузчики вредоносных программ. Вредоносное ПО используется злонамеренно с середины 2010-х годов.
После успешного выполнения REMCOS злоумышленники получают комплексные возможности контроля и наблюдения за целевой системой. Это позволяет им тайно похищать конфиденциальные данные в течение длительного периода времени, потенциально избегая обнаружения. Использование такой конфиденциальной информации, в зависимости от цели, несет в себе риск того, что жертвы столкнутся с шантажом, потенциальной потерей работы в случае компрометации данных компании и кражей данных организации. Эти украденные данные затем могут быть использованы для организации крупномасштабных и изощренных атак, что приведет к серьезному и, возможно, непоправимому ущербу пострадавшим организациям или средствам существования отдельных лиц.
Украина остается объектом киберпреступных атак хакерских группировок, связанных с Россией
CERT-UA также предупредил о целенаправленной кибератаке, направленной на заражение компьютерных систем, используемых ВСУ, бэкдором Cookbox.
По данным CERT-UA, неизвестный распространил XLS-документ с названием «1_ф_5.39-2024.xlsm» через мессенджер Signal среди нескольких военнослужащих, заявив, что у него проблемы с формированием отчета. Указанный файл содержал дополнительный сценарий VBA, который запускал загрузку и выполнение сценария PowerShell с именем «mob2002.data».
Скрипт PowerShell, скачанный с GitHub, вносит некоторые изменения в реестр ОС. Точнее, он помещает полезную нагрузку в кодировке Base64 в «HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache», которая в конечном итоге запускает вредоносное ПО Cookbox. Cookbox — это сценарий PowerShell, реализующий функции загрузки и выполнения командлетов PowerShell.
Службы динамического DNS (такие как gotdns.ch, myftp.biz) и Cloudflare Workers используются для работы серверов управления и контроля. Согласно данным, полученным исследователями, описанная деятельность, отслеживаемая как UAC-0149, продолжается как минимум с осени 2023 года.
