Вредоносное ПО TransferLoader

Исследователи безопасности выявляют связи между известными лицами, стоящими за RomCom RAT, и загрузчиком вредоносного ПО, получившим название TransferLoader. Эта кампания, нацеленная на организации с помощью шпионских и вымогательских атак, подчеркивает сложные методы и перекрывающиеся инфраструктуры, которые требуют пристального внимания.

Два кластера субъектов угроз: TA829 и UNK_GreenSec

Исследователи кибербезопасности связывают активность TransferLoader с двумя основными группами злоумышленников:

• TA829, также отслеживаемый под такими псевдонимами, как RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 и Void Rabisu.
• UNK_GreenSec — малоизвестный кластер, действующий параллельно с использованием схожей тактики.

TA829 особенно примечательна своими гибридными операциями, сочетающими шпионаж и финансово мотивированные атаки. Эта связанная с Россией группа ранее использовала уязвимости нулевого дня в Mozilla Firefox и Microsoft Windows для развертывания RomCom RAT, нацеленного на высокодоходные глобальные организации.

TransferLoader: возникновение и роль в вредоносных кампаниях

TransferLoader был впервые обнаружен в феврале 2025 года во время кампании с использованием Morpheus ransomware, переименованной версии HellCat ransomware. Вредоносное ПО использовалось против неназванной юридической фирмы из США. В отличие от RomCom, TransferLoader в первую очередь служит скрытым механизмом доставки, позволяя развертывать дополнительные вредоносные полезные нагрузки, такие как Metasploit и Morpheus.

Миссия TransferLoader проста: оставаться незамеченным и доставлять новые вредоносные программы.

Использование инфраструктуры REM Proxy

И TA829, и UNK_GreenSec полагаются на службы REM Proxy, которые часто размещаются на скомпрометированных маршрутизаторах MikroTik. Эти прокси используются для маршрутизации вредоносного трафика, скрывая его истинное происхождение. Группы используют эту инфраструктуру для:

• Рассылка фишинговых писем через бесплатные почтовые сервисы (например, Gmail, ukr.net)
• Ретранслировать трафик, чтобы скрыть восходящую активность
• Запускайте кампании, используя как вновь созданные, так и взломанные учетные записи электронной почты.

Исследователи подозревают, что для распространения фишинговых сообщений используются инструменты для создания электронных писем, которые массово генерируют адреса отправителей, такие как ximajazehox333@gmail.com и hannahsilva1978@ukr.net.

Механика фишинга и доставка полезной нагрузки

Фишинговые сообщения, отправленные обоими кластерами, часто содержат ссылки, встроенные в тело письма или вложения PDF. Жертвы, которые нажимают на эти ссылки, подвергаются цепочке перенаправлений через Rebrandly, в конечном итоге попадая на поддельные страницы Google Drive или Microsoft OneDrive. Эти перенаправления включают механизмы для:

• Обход песочниц
• Отфильтровать системы, не представляющие интереса
• Доставлять различные конечные полезные нагрузки в зависимости от группы угроз

Расходящиеся пути атаки :

• UNK_GreenSec использует этот маршрут для развертывания TransferLoader
• TA829 перенаправляет цели на вредоносное ПО SlipScreen

Общие инструменты и инфраструктура

Обе группы субъектов демонстрируют пересекающиеся наборы инструментов и варианты инфраструктуры:

• Использование утилиты PuTTY PLINK для создания SSH-туннелей
• Размещение вредоносных утилит на сервисах IPFS (InterPlanetary File System)
• Использование динамических конечных точек перенаправления на основе PHP для фильтрации трафика

Эти общие методы предполагают возможную координацию или взаимное принятие эффективной тактики.

Темы социальной инженерии и тактика ее реализации

Кампании с участием TransferLoader часто маскируются под электронные письма с предложениями о работе, заманивая жертв ссылками, которые якобы ведут к резюме в формате PDF. На самом деле ссылка запускает загрузку TransferLoader, размещенного на веб-ресурсах IPFS.

Основные технические особенности операций TransferLoader

Обход обнаружения — использует перенаправление, фильтрацию и децентрализованный хостинг для обхода традиционных средств защиты.

Доставка полезной нагрузки — действует как загрузчик для более опасных вредоносных программ, включая программы-вымогатели и инструменты удаленного доступа.

Дифференцированные методы — используют уникальные структуры перенаправления (конечные точки JavaScript в PHP) для поддержки динамической доставки контента.

Заключение: понимание угрозы TransferLoader

TransferLoader представляет собой значительную угрозу как скрытый загрузчик, способный проводить мощные атаки. Его использование как UNK_GreenSec, так и TA829 иллюстрирует, как киберпреступные группы продолжают внедрять инновации, обмениваться инструментами и эксплуатировать децентрализованную инфраструктуру, чтобы избежать обнаружения и достичь своих целей.

Индикаторы угрозы TransferLoader включают в себя:

• Использование сервисов REM Proxy
• Электронные письма-приманки, ссылающиеся на заявления о приеме на работу или резюме
• Цепочки перенаправления, включающие ссылки Rebrandly
• Полезные нагрузки, размещенные на платформах на базе IPFS

Организации должны сохранять бдительность, внедрять надежную фильтрацию электронной почты и веб-сайтов, а также постоянно отслеживать аномальное поведение сети, связанное с такой тактикой.