ИДАТ Лоадер
Истраживачи сајбер-безбедности открили су кампању напада, идентификовану као претњу украјинском тројанцу под називом Ремцос РАТ, коју је омогућио учитавач малвера познат као ИДАТ Лоадер. Тим за компјутерске хитне случајеве Украјине (ЦЕРТ-УА), који прати актера претње као УАЦ-0184 (ТА544), приписао је напад.
Напад, изведен коришћењем ИДАТ Лоадер-а, укључује стеганографију као технику. Иако су стеганографске, или 'Стего' технике широко признате. Стеганографске технике укључују прикривање информација унутар другог медија, као што је скривање података унутар слика, аудио датотека или другог дигиталног садржаја, како би се омогућила тајна комуникација без привлачења пажње. Кључно је схватити њихову улогу у избегавању одбрамбених мера.
Преглед садржаја
ИДАТ Лоадер олакшава испоруку корисних садржаја злонамерног софтвера следеће фазе
ИДАТ Лоадер, који има сличности са другом породицом учитавача под називом Хијацк Лоадер, активно примењује различите корисне садржаје, укључујући ДанаБот , СистемБЦ и РедЛине Стеалер, током неколико месеци. Овај учитавач је користио актер претње идентификован као ТА544 да шири Ремцос РАТ и СистемБЦ путем пхисхинг напада.
Кампања фишинга, коју је ЦЕРТ-УА првобитно открио почетком јануара 2024., укључује употребу мамаца на тему рата за покретање ланца инфекције. Овај ланац на крају доводи до примене ИДАТ Лоадер-а, који користи уграђени стеганографски ПНГ за лоцирање и издвајање Ремцос РАТ-а.
Ремцос РАТ се често користи у кампањама сајбер криминала
РЕМЦОС РАТ представља преовлађујући тројанац за даљински приступ који се интензивно користи иу сајбер криминалцима и у шпијунажи. Познат по својој способности да преузме контролу над рачунарима, РЕМЦОС може да прикупља притиске на тастере, аудио, видео, снимке екрана и системске податке, а истовремено олакшава испоруку додатног садржаја злонамерног софтвера. Типично, овај малвер се шири путем пхисхинг порука е-поште које садрже злонамерне прилоге или везе, што доводи до инсталирања РАТ-а. Примећено је да се РЕМЦОС дистрибуира на различите начине, укључујући учитаваче малвера. Малвер се злонамерно користи од средине 2010-их.
Након успешног извршења РЕМЦОС-а, актери претњи добијају свеобухватну контролу и способности надзора над циљним системом. Ово им омогућава да тајно ексфилтрирају осетљиве податке током дужег периода, потенцијално избегавајући откривање. Коришћење тако осетљивих информација, у зависности од циља, носи ризик да се жртве суоче са уценама, потенцијалним губитком посла ако су подаци компаније компромитовани и крађом организационих података. Ови украдени подаци би се затим могли искористити за оркестрирање великих, софистицираних напада, који би резултирали озбиљном и вероватно непоправљивом штетом погођеним организацијама или средствима за живот појединаца.
Украјина је и даље мета кибернетичких напада хакерских група повезаних са Русијом
ЦЕРТ-УА је такође упозорио на циљани сајбер напад који има за циљ да зарази компјутерске системе које користе Оружане снаге Украјине помоћу Цоокбок бацкдоор-а.
Према ЦЕРТ-УА, неидентификована особа је дистрибуирала КСЛС документ под називом '1_ф_5.39-2024.клсм' преко Сигнал мессенгер-а међу неколико војних лица, тврдећи да има проблема са формирањем извештаја. Наведена датотека је садржала додатну ВБА скрипту која је покренула преузимање и извршавање ПоверСхелл скрипте под називом „моб2002.дата“.
ПоверСхелл скрипта преузета са ГитХуб-а прави неке промене у ОС регистру. Тачније, испушта корисни терет кодиран у басе64 у 'ХКЕИ_ЦУРРЕНТ_УСЕР\СОФТВАРЕ\Мицрософт\КсбокЦацхе', који на крају покреће Цоокбок малвер. Цоокбок је ПоверСхелл скрипта која имплементира функционалност за преузимање и извршавање ПоверСхелл цмдлет команди.
Динамички ДНС сервиси (као што су готднс.цх, мифтп.биз) и Цлоудфларе Воркерс се користе за рад командних и контролних сервера. Описана активност, праћена као УАЦ-0149, траје најмање од јесени 2023. године, према подацима које су открили истраживачи.
