Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema TransferLoader

Zlonamerna programska oprema TransferLoader

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Varnostni raziskovalci povezujejo zloglasne akterje, ki stojijo za kampanjo RomCom RAT, in program za nalaganje zlonamerne programske opreme, imenovan TransferLoader. Ta kampanja, ki je bila usmerjena na subjekte z vohunskimi in izsiljevalskimi napadi, izpostavlja sofisticirane tehnike in prekrivajoče se infrastrukture, ki zahtevajo natančen nadzor.

Dve skupini akterjev groženj: TA829 in UNK_GreenSec

Raziskovalci kibernetske varnosti so dejavnosti, povezane s programom TransferLoader, pripisali dvema glavnima skupinama akterjev groženj:

  • TA829, ki ga spremljajo tudi pod psevdonimi, kot so RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 in Void Rabisu.
  • UNK_GreenSec, manj znana skupina, ki deluje vzporedno s podobnimi taktikami.

TA829 je še posebej znan po svojih hibridnih operacijah, ki združujejo vohunjenje in finančno motivirane napade. Ta skupina, povezana z Rusijo, je že prej izkoristila ranljivosti ničelnega dne v Mozilla Firefoxu in Microsoft Windowsu za namestitev RomCom RAT, ciljajoč na globalne organizacije z visoko vrednostjo.

TransferLoader: Pojav in vloga v kampanjah zlonamerne programske opreme

TransferLoader je bil prvič odkrit februarja 2025 med kampanjo, ki je vključevala izsiljevalsko programsko opremo Morpheus, preimenovano različico izsiljevalske programske opreme HellCat. Zlonamerna programska oprema je bila uporabljena proti neimenovani ameriški odvetniški pisarni. Za razliko od RomCom TransferLoader služi predvsem kot prikrit mehanizem za dostavo, ki omogoča namestitev dodatnih zlonamernih koristnih tovorov, kot sta Metasploit in Morpheus.

Poslanstvo programa TransferLoader je preprosto: ostati neopažen in dostavljati nadaljnjo zlonamerno programsko opremo.

Izkoriščanje infrastrukture proxyja REM

Tako TA829 kot UNK_GreenSec se zanašata na storitve REM Proxy, ki so pogosto nameščene na ogroženih usmerjevalnikih MikroTik. Ti posredniki se uporabljajo za usmerjanje zlonamernega prometa in prikrivanje njegovega pravega izvora. Skupine uporabljajo to infrastrukturo za:

  • Pošiljanje lažnih e-poštnih sporočil prek brezplačnih poštnih storitev (npr. Gmail, ukr.net)
  • Relejni promet za skrivanje aktivnosti navzgor
  • Zaženite kampanje z uporabo novo ustvarjenih in ogroženih e-poštnih računov

Raziskovalci sumijo, da se za lažno distribucijo uporabljajo orodja za ustvarjanje e-pošte, ki množično ustvarjajo naslove pošiljateljev, kot sta ximajazehox333@gmail.com in hannahsilva1978@ukr.net.

Mehanika lažnega predstavljanja in dostava koristnega tovora

Lažna sporočila, ki jih pošiljata obe skupini, pogosto vsebujejo povezave, vdelane v telo e-pošte ali priloge PDF. Žrtve, ki kliknejo te povezave, so podvržene verigi preusmeritev prek Rebrandlyja, ki na koncu pristanejo na ponarejenih straneh Google Drive ali Microsoft OneDrive. Te preusmeritve vključujejo mehanizme za:

  • Obidi peskovna okolja
  • Izločite sisteme, ki vas ne zanimajo
  • Dostavite različne končne koristne obremenitve, odvisno od skupine groženj

Različne poti napada :

  • UNK_GreenSec uporablja to pot za namestitev TransferLoaderja
  • TA829 preusmerja tarče na zlonamerno programsko opremo SlipScreen

Souporaba orodij in infrastrukture

Obe skupini akterjev kažeta prekrivajoče se nabore orodij in izbire infrastrukture:

  • Uporaba pripomočka PuTTY PLINK za vzpostavitev SSH tunelov
  • Gostovanje zlonamernih orodij v storitvah IPFS (InterPlanetary File System)
  • Uporaba dinamičnih končnih točk preusmeritve, ki temeljijo na PHP, za filtriranje prometa

Te skupne metode kažejo na možno usklajevanje ali vzajemno sprejemanje učinkovitih taktik.

Teme socialnega inženiringa in taktike dostave

Kampanje, ki vključujejo TransferLoader, se pogosto maskirajo kot e-poštna sporočila o zaposlitvenih možnostih in žrtve vabijo s povezavami, ki naj bi vodile do življenjepisov v PDF obliki. V resnici povezava sproži prenos TransferLoaderja, ki gostuje na spletnih mestih IPFS.

Ključni tehnični poudarki delovanja TransferLoaderja

Izogiba se zaznavanju – Uporablja preusmeritev, filtriranje in decentralizirano gostovanje za obhod tradicionalnih obrambnih mehanizmov.

Dostava koristnega tovora – deluje kot nalagalnik za bolj nevarno zlonamerno programsko opremo, vključno z izsiljevalsko programsko opremo in orodji za oddaljeni dostop.

Diferencirane tehnike – Uporablja edinstvene strukture preusmeritve (končne točke JavaScript v PHP) za podporo dinamične dostave vsebine.

Zaključek: Razumevanje grožnje TransferLoader

TransferLoader predstavlja veliko grožnjo kot prikrit nalagalnik, ki lahko omogoča napade z velikim učinkom. Njegova uporaba s strani UNK_GreenSec in TA829 ponazarja, kako kibernetske kriminalne skupine nenehno uvajajo inovacije, delijo orodja in izkoriščajo decentralizirano infrastrukturo, da bi se izognile odkrivanju in dosegle svoje cilje.

Kazalniki grožnje TransferLoader vključujejo:

  • Uporaba storitev REM Proxy
  • Vabe po e-pošti s sklicevanjem na prošnje za delo ali življenjepise
  • Preusmeritvene verige, ki vključujejo povezave Rebrandly
  • Koristni tovori, gostovani na platformah, ki temeljijo na IPFS

Organizacije morajo ostati pozorne, uvesti robustno filtriranje e-pošte in spleta ter nenehno spremljati nenavadno vedenje omrežja, povezano s temi taktikami.

V trendu

Najbolj gledan

Nalaganje...