Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Malvér TransferLoader

Malvér TransferLoader

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Bezpečnostní výskumníci hľadajú súvislosti medzi známymi aktérmi stojacimi za kampaňou RomCom RAT a zavádzačom malvéru s názvom TransferLoader. Táto kampaň, ktorá sa zameriava na subjekty špionážnymi a ransomvérovými útokmi, poukazuje na sofistikované techniky a prekrývajúce sa infraštruktúry, ktoré si vyžadujú dôkladnú kontrolu.

Dva klastre aktérov hrozieb: TA829 a UNK_GreenSec

Výskumníci v oblasti kybernetickej bezpečnosti pripisujú aktivity súvisiace s TransferLoader dvom hlavným skupinám aktérov hrozieb:

  • TA829, sledovaný aj pod aliasmi ako RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 a Void Rabisu.
  • UNK_GreenSec, menej známy klaster fungujúci paralelne s podobnými taktikami.

TA829 je obzvlášť pozoruhodná svojimi hybridnými operáciami, ktoré kombinujú špionáž a finančne motivované útoky. Táto skupina napojená na Rusko už v minulosti využila zraniteľnosti typu zero-day v prehliadačoch Mozilla Firefox a Microsoft Windows na nasadenie RomCom RAT, zameraného na hodnotné globálne organizácie.

TransferLoader: Vznik a úloha v kampaniach so škodlivým softvérom

TransferLoader bol prvýkrát identifikovaný vo februári 2025 počas kampane zahŕňajúcej ransomvér Morpheus, premenovanú verziu ransomvéru HellCat. Malvér bol použitý proti nemenovanej právnickej firme so sídlom v USA. Na rozdiel od RomCom slúži TransferLoader predovšetkým ako nenápadný mechanizmus na doručovanie, ktorý umožňuje nasadenie ďalších škodlivých dát, ako sú Metasploit a Morpheus.

Poslanie TransferLoaderu je jednoduché: zostať nepozorovaný a šíriť ďalší malware.

Využívanie infraštruktúry REM proxy

TA829 aj UNK_GreenSec sa spoliehajú na služby REM Proxy, ktoré sú často hostované na kompromitovaných routeroch MikroTik. Tieto proxy sa používajú na smerovanie škodlivej prevádzky, čím sa maskuje jej skutočný pôvod. Skupiny používajú túto infraštruktúru na:

  • Posielajte phishingové e-maily prostredníctvom bezplatných e-mailových služieb (napr. Gmail, ukr.net)
  • Relejová prevádzka na skrytie aktivity proti prúdu
  • Spúšťajte kampane s použitím novovytvorených aj napadnutých e-mailových účtov

Výskumníci majú podozrenie, že na phishingovú distribúciu sa používajú nástroje na tvorbu e-mailov, ktoré hromadne generujú adresy odosielateľov, ako napríklad ximajazehox333@gmail.com a hannahsilva1978@ukr.net.

Mechanika phishingu a doručovanie užitočného obsahu

Phishingové správy odosielané oboma klastrami často obsahujú odkazy vložené do tela e-mailu alebo príloh PDF. Obete, ktoré kliknú na tieto odkazy, sú vystavené reťazcu presmerovaní cez Rebrandly, ktoré nakoniec pristanú na falošných stránkach Disku Google alebo Microsoft OneDrive. Tieto presmerovania zahŕňajú mechanizmy na:

  • Obísť prostredia sandbox
  • Odfiltrujte systémy, ktoré vás nezaujímajú
  • Dodať rôzne konečné užitočné zaťaženie v závislosti od skupiny hrozieb

Rozdielne cesty útoku :

  • UNK_GreenSec používa túto trasu na nasadenie TransferLoaderu
  • TA829 presmeruje ciele na malvér SlipScreen

Zdieľané nástroje a infraštruktúra

Obe skupiny aktérov vykazujú prekrývajúce sa súbory nástrojov a možnosti infraštruktúry:

  • Použitie utility PLINK od PuTTY na vytvorenie SSH tunelov
  • Hostovanie škodlivých nástrojov na službách IPFS (InterPlanetary File System)
  • Využitie dynamických koncových bodov presmerovania založených na PHP na filtrovanie prevádzky

Tieto zdieľané metódy naznačujú možnú koordináciu alebo vzájomné prijatie účinných taktík.

Témy a taktiky sociálneho inžinierstva

Kampane zahŕňajúce TransferLoader sa často maskujú ako e-maily s pracovnými ponukami a lákajú obete odkazmi, ktoré údajne vedú na životopisy vo formáte PDF. V skutočnosti odkaz spustí stiahnutie TransferLoadera hostovaného na webových zdieľaných serveroch IPFS.

Kľúčové technické aspekty operácií TransferLoader

Vyhýba sa detekcii – Používa presmerovanie, filtrovanie a decentralizovaný hosting na obídenie tradičných obranných mechanizmov.

Doručovanie užitočného obsahu – Slúži ako zavádzač nebezpečnejšieho malvéru vrátane ransomvéru a nástrojov na vzdialený prístup.

Diferencované techniky – Využíva jedinečné štruktúry presmerovania (koncové body JavaScriptu do PHP) na podporu dynamického doručovania obsahu.

Záver: Pochopenie hrozby TransferLoader

TransferLoader predstavuje významnú hrozbu ako nenápadný zavádzač schopný umožniť útoky s vysokým dopadom. Jeho použitie skupinami UNK_GreenSec aj TA829 ilustruje, ako kyberzločinecké skupiny neustále inovujú, zdieľajú nástroje a využívajú decentralizovanú infraštruktúru, aby sa vyhli odhaleniu a dosiahli svoje ciele.

Medzi indikátory hrozby TransferLoader patria:

  • Používanie služieb REM Proxy
  • E-mailové lákadlá s odkazmi na žiadosti o zamestnanie alebo životopisy
  • Presmerovacie reťazce zahŕňajúce odkazy Rebrandly
  • Dáta hostované na platformách založených na IPFS

Organizácie musia zostať ostražití, zaviesť robustné filtrovanie e-mailov a webu a neustále monitorovať abnormálne správanie siete spojené s týmito taktikami.

Trendy

Najviac videné

Načítava...