Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Malware TransferLoader

Malware TransferLoader

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë po bëjnë lidhje midis aktorëve famëkeq që qëndrojnë pas RomCom RAT dhe një programi keqdashës të quajtur TransferLoader. Kjo fushatë, e cila ka synuar subjektet me sulme spiunazhi dhe ransomware, nxjerr në pah teknika të sofistikuara dhe infrastruktura mbivendosëse që kërkojnë shqyrtim të kujdesshëm.

Dy Grumbuj Aktorësh Kërcënues: TA829 dhe UNK_GreenSec

Studiuesit e sigurisë kibernetike ia kanë atribuar aktivitetin e lidhur me TransferLoader dy grupeve kryesore të aktorëve kërcënues:

  • TA829, i gjurmuar gjithashtu nën pseudonime të tilla si RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 dhe Void Rabisu.
  • UNK_GreenSec, një klaster më pak i njohur që vepron paralelisht me taktika të ngjashme.

TA829 është veçanërisht i njohur për operacionet e tij hibride, duke kombinuar spiunazhin dhe sulmet e motivuara financiarisht. Ky grup i lidhur me Rusinë ka shfrytëzuar më parë dobësitë zero-day në Mozilla Firefox dhe Microsoft Windows për të vendosur RomCom RAT, duke synuar organizata globale me vlerë të lartë.

TransferLoader: Shfaqja dhe Roli i tij në Fushatat e Malware-it

TransferLoader u identifikua për herë të parë në shkurt të vitit 2025 gjatë një fushate që përfshinte ransomware-in Morpheus, një version i ribërë i ransomware-it HellCat. Malware-i u përdor kundër një firme avokatie të paidentifikuar me seli në SHBA. Ndryshe nga RomCom, TransferLoader shërben kryesisht si një mekanizëm i fshehtë shpërndarjeje, duke mundësuar vendosjen e ngarkesave shtesë keqdashëse si Metasploit dhe Morpheus.

Misioni i TransferLoader është i thjeshtë: të mbetet i pazbuluar dhe të shpërndajë më shumë programe keqdashëse.

Shfrytëzimi i Infrastrukturës së Proxy-t REM

Si TA829 ashtu edhe UNK_GreenSec mbështeten në shërbimet REM Proxy, të cilat shpesh hostohen në routerë të kompromentuar MikroTik. Këta proxy përdoren për të drejtuar trafikun keqdashës, duke maskuar origjinën e tij të vërtetë. Grupet e përdorin këtë infrastrukturë për të:

  • Dërgoni email-e phishing përmes shërbimeve falas të postës elektronike (p.sh., Gmail, ukr.net)
  • Transmetoni trafikun për të fshehur aktivitetin në rrjedhën e sipërme
  • Nisni fushata duke përdorur llogari email-i si të sapokrijuara ashtu edhe të kompromentuara

Studiuesit dyshojnë se mjetet e ndërtimit të email-eve që gjenerojnë në masë adresa dërguesish si ximajazehox333@gmail.com dhe hannahsilva1978@ukr.net përdoren për shpërndarjen e phishing-ut.

Mekanika e Phishing-ut dhe Dorëzimi i Ngarkesës

Mesazhet e phishing-ut të dërguara nga të dy grupet shpesh përmbajnë lidhje të integruara në trupin e email-it ose në bashkëngjitjet PDF. Viktimat që klikojnë këto lidhje i nënshtrohen një zinxhiri ridrejtimesh nëpërmjet Rebrandly, të cilat në fund përfundojnë në faqet e falsifikuara të Google Drive ose Microsoft OneDrive. Këto ridrejtime përfshijnë mekanizma për të:

  • Mjedise sandbox anashkalimi
  • Filtroni sistemet që nuk ju interesojnë
  • Dorëzoni ngarkesa të ndryshme përfundimtare në varësi të grupit të kërcënimit

Shtigje të ndryshme sulmi :

  • UNK_GreenSec përdor këtë rrugë për të vendosur TransferLoader
  • TA829 ridrejton objektivat te malware-i SlipScreen

Mjete dhe Infrastrukturë e Përbashkët

Të dy grupet e aktorëve demonstrojnë mjete dhe zgjedhje infrastrukturore që mbivendosen:

  • Përdorimi i programit PLINK të PuTTY për krijimin e tuneleve SSH
  • Strehimi i shërbimeve keqdashëse në shërbimet IPFS (InterPlanetary File System)
  • Shfrytëzimi i pikave fundore të ridrejtimit dinamik të bazuara në PHP për filtrimin e trafikut

Këto metoda të përbashkëta sugjerojnë një koordinim të mundshëm ose miratim të ndërsjellë të taktikave efektive.

Temat e Inxhinierisë Sociale dhe Taktikat e Zbatimit

Fushatat që përfshijnë TransferLoader shpesh maskohen si email-e me mundësi punësimi, duke i joshur viktimat me lidhje që pretendojnë se çojnë në CV-të PDF. Në realitet, lidhja shkakton një shkarkim të TransferLoader të vendosur në faqet e internetit të IPFS.

Pikat kryesore teknike të operacioneve të TransferLoader

Shmang Zbulimin – Përdor ridrejtimin, filtrimin dhe hostimin e decentralizuar për të anashkaluar mbrojtjet tradicionale.

Shpërndarja e Ngarkesës – Vepron si një ngarkues për programe keqdashëse më të rrezikshme, duke përfshirë ransomware dhe mjete aksesi në distancë.

Teknika të Diferencuara – Përdor struktura unike të ridrejtimit (pika fundore JavaScript në PHP) për të mbështetur shpërndarjen dinamike të përmbajtjes.

Përfundim: Kuptimi i kërcënimit TransferLoader

TransferLoader përfaqëson një kërcënim të rëndësishëm si një ngarkues i fshehtë i aftë të mundësojë sulme me ndikim të lartë. Përdorimi i tij nga UNK_GreenSec dhe TA829 ilustron se si grupet kiberkriminale vazhdojnë të inovojnë, të ndajnë mjete dhe të shfrytëzojnë infrastrukturën e decentralizuar për të shmangur zbulimin dhe për të arritur qëllimet e tyre.

Treguesit e kërcënimit TransferLoader përfshijnë:

  • Përdorimi i shërbimeve REM Proxy
  • Joshjet me email që referojnë aplikime për punë ose CV
  • Zinxhirët e ridrejtimit që përfshijnë lidhjet Rebrandly
  • Ngarkesat e hostuara në platforma të bazuara në IPFS

Organizatat duhet të mbeten vigjilente, të zbatojnë filtrim të fuqishëm të email-eve dhe të uebit, si dhe të monitorojnë vazhdimisht sjelljen jonormale të rrjetit të lidhur me këto taktika.

Në trend

Më e shikuara

Po ngarkohet...