Nakladač IDAT
Výskumníci v oblasti kybernetickej bezpečnosti objavili útočnú kampaň, ktorá bola identifikovaná ako hrozba pre ukrajinského trójskeho koňa s názvom Remcos RAT, ktorú sprostredkoval nakladač škodlivého softvéru známy ako IDAT Loader. Ukrajinský tím pre počítačovú núdzovú reakciu (CERT-UA), ktorý sleduje aktéra hrozby ako UAC-0184 (TA544), pripísal útok.
Útok, vykonaný pomocou IDAT Loader, zahŕňa steganografiu ako techniku. Hoci steganografické alebo „Stego“ techniky sú široko uznávané. Steganografické techniky zahŕňajú skrývanie informácií na inom médiu, ako je skrytie údajov v obrázkoch, zvukových súboroch alebo inom digitálnom obsahu, aby sa umožnila skrytá komunikácia bez upútania pozornosti. Je dôležité pochopiť ich úlohu pri vyhýbaní sa obranným opatreniam.
Obsah
IDAT Loader uľahčuje doručovanie dátových obsahov malvéru v ďalšej fáze
IDAT Loader, ktorý má podobnosť s inou rodinou nakladačov s názvom Hijack Loader, už niekoľko mesiacov aktívne nasadzuje rôzne užitočné zaťaženia vrátane DanaBot , SystemBC a RedLine Stealer . Tento zavádzač použil aktér hrozby identifikovaný ako TA544 na šírenie Remcos RAT a SystemBC prostredníctvom phishingových útokov.
Phishingová kampaň, ktorú CERT-UA pôvodne odhalila začiatkom januára 2024, zahŕňa použitie návnad s vojnovou tematikou na spustenie infekčného reťazca. Tento reťazec nakoniec vedie k nasadeniu IDAT Loader, ktorý využíva zabudovaný steganografický PNG na lokalizáciu a extrakciu Remcos RAT.
Remcos RAT sa často používa v kampaniach kyberzločincov
REMCOS RAT predstavuje prevládajúci trójsky kôň so vzdialeným prístupom, ktorý sa vo veľkej miere využíva pri kyberzločine a špionáži. REMCOS, známy svojou schopnosťou prevziať kontrolu nad počítačmi, dokáže zhromažďovať stlačenia klávesov, zvuk, video, snímky obrazovky a systémové údaje a zároveň uľahčovať doručovanie ďalších užitočných dát škodlivého softvéru. Tento malvér sa zvyčajne šíri prostredníctvom phishingových e-mailov obsahujúcich škodlivé prílohy alebo odkazy, čo vedie k inštalácii RAT. Zistilo sa, že REMCOS sa distribuuje rôznymi spôsobmi, vrátane zavádzačov škodlivého softvéru. Malvér bol zlomyseľne využívaný od polovice roku 2010.
Po úspešnom vykonaní REMCOS získajú aktéri hrozby komplexné možnosti kontroly a dohľadu nad cieľovým systémom. To im umožňuje tajne exfiltrovať citlivé údaje počas dlhšieho obdobia a potenciálne sa tak vyhnúť ich odhaleniu. Využitie takýchto citlivých informácií v závislosti od cieľa nesie so sebou riziko, že obete budú čeliť vydieraniu, prípadnej strate zamestnania v prípade ohrozenia firemných údajov a krádeži organizačných údajov. Tieto ukradnuté údaje by potom mohli byť zneužité na organizovanie rozsiahlych, sofistikovaných útokov, čo by malo za následok vážne a možno nenapraviteľné poškodenie postihnutých organizácií alebo živobytia jednotlivcov.
Ukrajina zostáva terčom kyberzločineckých útokov hackerských skupín spojených s Ruskom
CERT-UA tiež varoval pred cieleným kybernetickým útokom zameraným na infikovanie počítačových systémov používaných ukrajinskými ozbrojenými silami pomocou backdoor Cookbox.
Podľa CERT-UA neidentifikovaný jednotlivec distribuoval dokument XLS s názvom '1_ф_5.39-2024.xlsm' prostredníctvom posla signálu medzi niekoľko vojenských pracovníkov, pričom tvrdil, že má problémy s vytváraním správ. Uvedený súbor obsahoval dodatočný skript VBA, ktorý spustil sťahovanie a spustenie skriptu PowerShell s názvom „mob2002.data“.
Skript PowerShell stiahnutý z GitHub vykoná určité zmeny v registri OS. Presnejšie povedané, v 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' upustí užitočné zaťaženie kódované v base64, ktoré nakoniec spustí malvér Cookbox. Cookbox je skript prostredia PowerShell, ktorý implementuje funkcie na sťahovanie a spúšťanie cmdletov prostredia PowerShell.
Dynamické DNS služby (ako gotdns.ch, myftp.biz) a Cloudflare Workers sa využívajú na prevádzku príkazových a riadiacich serverov. Opísaná aktivita, sledovaná ako UAC-0149, prebieha minimálne od jesene 2023, podľa údajov, ktoré odhalili výskumníci.
