IDAT nakladalnik
Raziskovalci kibernetske varnosti so odkrili kampanjo napada, ki je bila opredeljena kot grožnja ukrajinskemu trojancu, imenovanemu Remcos RAT, ki jo je omogočil nalagalnik zlonamerne programske opreme, znan kot IDAT Loader. Ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA), ki akterju grožnje sledi kot UAC-0184 (TA544), je pripisala napad.
Napad, izveden z uporabo IDAT Loaderja, vključuje steganografijo kot tehniko. Čeprav so steganografske ali "Stego" tehnike splošno priznane. Steganografske tehnike vključujejo prikrivanje informacij znotraj drugega medija, kot je skrivanje podatkov v slikah, zvočnih datotekah ali drugi digitalni vsebini, da se omogoči prikrita komunikacija brez pritegovanja pozornosti. Bistveno je razumeti njihovo vlogo pri izogibanju obrambnim ukrepom.
Kazalo
Nalagalnik IDAT olajša dostavo zlonamerne programske opreme naslednje stopnje
Nakladalnik IDAT, ki ima podobnosti z drugo družino nakladalnikov, imenovano Hijack Loader, že nekaj mesecev aktivno uvaja različne koristne obremenitve, vključno z DanaBot , SystemBC in RedLine Stealer . Ta nakladalnik je uporabil akter grožnje, identificiran kot TA544, za širjenje Remcos RAT in SystemBC z lažnimi napadi.
Kampanja lažnega predstavljanja, ki jo je CERT-UA prvotno razkril v začetku januarja 2024, vključuje uporabo vab na temo vojne za sprožitev verige okužb. Ta veriga končno vodi do uvedbe nakladalnika IDAT, ki uporablja vdelan steganografski PNG za lociranje in ekstrahiranje Remcos RAT.
Remcos RAT se pogosto uporablja v akcijah kibernetskega kriminala
REMCOS RAT velja za prevladujočega trojanca za oddaljeni dostop, ki se pogosto uporablja tako v kiberkriminalnih kot vohunskih prizadevanjih. Slovi po svoji zmožnosti prevzema nadzora nad računalniki, lahko REMCOS zbere pritiske na tipke, zvok, video, posnetke zaslona in sistemske podatke, hkrati pa olajša dostavo dodatnih škodljivih programov. Običajno se ta zlonamerna programska oprema širi prek lažnih e-poštnih sporočil, ki vsebujejo zlonamerne priloge ali povezave, kar vodi do namestitve RAT. Opazili so predvsem, da se REMCOS distribuira na različne načine, vključno z nalagalniki zlonamerne programske opreme. Zlonamerna programska oprema se zlonamerno uporablja od sredine leta 2010.
Po uspešni izvedbi REMCOS akterji groženj pridobijo celovit nadzor in zmogljivosti nadzora nad ciljnim sistemom. To jim omogoča tajno izločanje občutljivih podatkov v daljšem obdobju, s čimer se lahko izognejo odkrivanju. Uporaba takih občutljivih informacij, odvisno od tarče, nosi tveganje, da se žrtve soočijo z izsiljevanjem, morebitno izgubo službe, če so ogroženi podatki podjetja, in krajo organizacijskih podatkov. Te ukradene podatke bi nato lahko izkoristili za orkestriranje obsežnih, sofisticiranih napadov, ki bi povzročili resno in morda nepopravljivo škodo prizadetim organizacijam ali preživetju posameznikov.
Ukrajina ostaja tarča napadov kibernetskih kriminalcev hekerskih skupin, povezanih z Rusijo
CERT-UA je tudi opozoril na ciljni kibernetski napad, katerega cilj je okužba računalniških sistemov, ki jih uporabljajo oborožene sile Ukrajine, z zadnjimi vrati Cookbox.
Po navedbah CERT-UA je neidentificirani posameznik razdelil dokument XLS z imenom '1_ф_5.39-2024.xlsm' prek Messengerja Signal med več vojaškimi osebami in trdil, da ima težave z oblikovanjem poročil. Omenjena datoteka je vsebovala dodaten skript VBA, ki je sprožil prenos in izvajanje skripta PowerShell z imenom 'mob2002.data.'
Skript PowerShell, prenesen iz GitHub, naredi nekaj sprememb v registru OS. Natančneje, v »HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache« spusti koristni tovor, kodiran z base64, ki na koncu izvede zlonamerno programsko opremo Cookbox. Cookbox je skript PowerShell, ki implementira funkcionalnost za prenos in izvajanje ukazov cmdlet PowerShell.
Dinamične storitve DNS (kot so gotdns.ch, myftp.biz) in Cloudflare Workers se uporabljajo za delovanje ukaznih in nadzornih strežnikov. Opisana dejavnost, označena kot UAC-0149, po podatkih, ki so jih razkrili raziskovalci, poteka vsaj od jeseni 2023.
