Ngarkues IDAT
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë sulmi, të identifikuar si një kërcënim për një Trojan ukrainas të quajtur Remcos RAT, i lehtësuar nga një ngarkues malware i njohur si IDAT Loader. Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT-UA), duke gjurmuar aktorin e kërcënimit si UAC-0184 (TA544), ka atribuar sulmin.
Sulmi, i ekzekutuar përmes përdorimit të IDAT Loader, përfshin steganografinë si teknikë. Edhe pse teknikat steganografike, ose "Stego", njihen gjerësisht. Teknikat steganografike përfshijnë fshehjen e informacionit brenda një mediumi tjetër, si fshehja e të dhënave brenda imazheve, skedarëve audio ose përmbajtjeve të tjera dixhitale, për të mundësuar komunikimin e fshehtë pa tërhequr vëmendjen. Është thelbësore të kuptohet roli i tyre në shmangien e masave të mbrojtjes.
Tabela e Përmbajtjes
Ngarkuesi IDAT Lehtëson dorëzimin e ngarkesave të pagesës së malware në fazën tjetër
IDAT Loader, që ka ngjashmëri me një familje tjetër ngarkues të quajtur Hijack Loader, ka vendosur në mënyrë aktive ngarkesa të ndryshme, duke përfshirë DanaBot , SystemBC dhe RedLine Stealer, gjatë disa muajve. Ky ngarkues është përdorur nga një aktor kërcënimi i identifikuar si TA544 për të shpërndarë Remcos RAT dhe SystemBC përmes sulmeve të phishing.
Fushata e phishing, e zbuluar fillimisht nga CERT-UA në fillim të janarit 2024, përfshin përdorimin e karremave me temë lufte për të inicuar një zinxhir infeksioni. Ky zinxhir përfundimisht çon në vendosjen e ngarkuesit IDAT, i cili përdor një PNG steganografike të integruar për të gjetur dhe nxjerrë Remcos RAT.
Remcos RAT vendoset shpesh në fushatat kriminale kibernetike
REMCOS RAT qëndron si një Trojan i përhapur me qasje në distancë i përdorur gjerësisht si në përpjekjet e krimit kibernetik ashtu edhe në atë të spiunazhit. I njohur për aftësinë e tij për të kapur kontrollin e kompjuterëve, REMCOS mund të mbledhë tastierë, audio, video, pamje nga ekrani dhe të dhëna të sistemit duke lehtësuar gjithashtu dërgimin e ngarkesave shtesë të malware. Në mënyrë tipike, ky malware përhapet përmes emaileve phishing që përmbajnë bashkëngjitje ose lidhje me qëllim të keq, duke çuar në instalimin e RAT. Veçanërisht, REMCOS është vërejtur të shpërndahet përmes mjeteve të ndryshme, duke përfshirë ngarkuesit e malware. Malware është përdorur me qëllim të keq që nga mesi i viteve 2010.
Pas ekzekutimit të suksesshëm të REMCOS, aktorët e kërcënimit fitojnë aftësi gjithëpërfshirëse kontrolli dhe mbikëqyrjeje mbi sistemin e synuar. Kjo u mundëson atyre të eksplorojnë në mënyrë klandestine të dhëna të ndjeshme për një periudhë të gjatë, duke shmangur potencialisht zbulimin. Përdorimi i informacionit të tillë të ndjeshëm, në varësi të objektivit, mbart rrezikun e viktimave të përballen me shantazh, humbje të mundshme të punës nëse të dhënat e kompanisë cenohen dhe vjedhjen e të dhënave organizative. Këto të dhëna të grabitura më pas mund të shfrytëzohen për të orkestruar sulme të sofistikuara në shkallë të gjerë, duke rezultuar në dëme të rënda dhe ndoshta të pariparueshme për organizatat e prekura ose mjetet e jetesës së individëve.
Ukraina mbetet një objektiv i sulmeve kriminale kibernetike nga grupet e hakerëve të lidhur me Rusinë
CERT-UA ka paralajmëruar gjithashtu për një sulm kibernetik të synuar që të infektojë sistemet kompjuterike të përdorura nga Forcat e Armatosura të Ukrainës me derën e pasme të Cookbox.
Sipas CERT-UA, një individ i paidentifikuar shpërndau një dokument XLS të quajtur '1_ф_5.39-2024.xlsm' nëpërmjet mesazherit të sinjalit midis disa personelit ushtarak, duke pretenduar se kishte probleme me formimin e raportit. Skedari i përmendur përmbante një skript shtesë VBA që shkaktoi shkarkimin dhe ekzekutimin e një skripti PowerShell të quajtur 'mob2002.data'.
Skripti PowerShell i shkarkuar nga GitHub bën disa ndryshime në regjistrin e OS. Më konkretisht, ai lëshon një ngarkesë të koduar me bazë 64 në 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', i cili në fund ekzekuton malware-in Cookbox. Cookbox është një skrip PowerShell që zbaton funksionalitetin për shkarkimin dhe ekzekutimin e cmdlet-ve të PowerShell.
Shërbimet dinamike DNS (të tilla si gotdns.ch, myftp.biz) dhe Cloudflare Workers përdoren për funksionimin e serverëve të komandës dhe kontrollit. Aktiviteti i përshkruar, i gjurmuar si UAC-0149, ka vazhduar të paktën që nga vjeshta 2023, sipas të dhënave të zbuluara nga studiuesit.
