Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер TransferLoader

Злонамерни софтвер TransferLoader

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи безбедности повезују озлоглашене актере који стоје иза кампање RomCom RAT и програма за учитавање злонамерног софтвера под називом TransferLoader. Ова кампања, која је циљала ентитете нападима шпијунаже и ransomware-а, истиче софистициране технике и преклапајуће инфраструктуре које захтевају пажљиву контролу.

Два кластера претњи: TA829 и UNK_GreenSec

Истраживачи сајбер безбедности приписали су активности повезане са TransferLoader-ом двема главним групама претњи:

  • TA829, такође праћен под псеудонимима као што су RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 и Void Rabisu.
  • UNK_GreenSec, мање познати кластер који делује паралелно са сличним тактикама.

TA829 је посебно познат по својим хибридним операцијама, комбинујући шпијунажу и финансијски мотивисане нападе. Ова група повезана са Русијом је раније искористила рањивости нултог дана у Mozilla Firefox-у и Microsoft Windows-у за примену RomCom RAT-а, циљајући на глобалне организације високе вредности.

TransferLoader: Појава и улога у кампањама злонамерног софтвера

TransferLoader је први пут идентификован у фебруару 2025. године током кампање која је укључивала Morpheus ransomware, ребрендирану верзију HellCat ransomware-а. Злонамерни софтвер је коришћен против неименоване адвокатске фирме са седиштем у САД. За разлику од RomCom-а, TransferLoader првенствено служи као прикривени механизам за испоруку, омогућавајући распоређивање додатних злонамерних корисних садржаја попут Metasploit-а и Morpheus-а.

Мисија TransferLoader-а је једноставна: остати неоткривен и испоручити даљи злонамерни софтвер.

Искоришћавање REM прокси инфраструктуре

И TA829 и UNK_GreenSec се ослањају на REM прокси сервисе, који се често налазе на компромитованим MikroTik рутерима. Ови проксији се користе за усмеравање злонамерног саобраћаја, прикривајући његово право порекло. Групе користе ову инфраструктуру за:

  • Слање фишинг имејлова путем бесплатних сервиса за пошту (нпр. Gmail, ukr.net)
  • Релеј саобраћај ради скривања узводне активности
  • Покрените кампање користећи и новокреиране и угрожене имејл налоге

Истраживачи сумњају да се користе алати за креирање имејлова који масовно генеришу адресе пошиљалаца, попут ximajazehox333@gmail.com и hannahsilva1978@ukr.net, за дистрибуцију фишинга.

Механика фишинга и испорука корисног терета

Фишинг поруке које шаљу оба кластера често садрже линкове уграђене у тело имејла или PDF прилоге. Жртве које кликну на ове линкове подвргнуте су ланцу преусмеравања путем Rebrandly-ја, што на крају доводи до лажних страница Google Drive-а или Microsoft OneDrive-а. Ова преусмеравања укључују механизме за:

  • Заобиђи sandbox окружења
  • Филтрирајте системе који вас не занимају
  • Испоручите различите коначне корисне терете у зависности од групе претњи

Дивергентне путање напада :

  • UNK_GreenSec користи ову руту за распоређивање TransferLoader-а
  • TA829 преусмерава мете на злонамерни софтвер SlipScreen

Дељени алати и инфраструктура

Обе групе актера демонстрирају преклапајуће скупове алата и изборе инфраструктуре:

  • Коришћење PuTTY-јевог PLINK услужног програма за успостављање SSH тунела
  • Хостовање злонамерних услужних програма на IPFS (InterPlanetary File System) сервисима
  • Коришћење динамичких крајњих тачака преусмеравања заснованих на PHP-у за филтрирање саобраћаја

Ове заједничке методе указују на могућу координацију или међусобно усвајање ефикасних тактика.

Теме и тактике испоруке друштвеног инжењеринга

Кампање које укључују TransferLoader често се маскирају као имејлови са приликама за посао, мамећи жртве линковима који тврде да воде до PDF биографија. У стварности, линк покреће преузимање TransferLoader-а хостованог на IPFS веб локацијама.

Кључни технички аспекти рада TransferLoader-а

Избегава откривање – Користи преусмеравање, филтрирање и децентрализовани хостинг како би заобишао традиционалне одбрамбене мере.

Испорука корисног терета – Делује као програм за учитавање опаснијег злонамерног софтвера, укључујући ransomware и алате за даљински приступ.

Диференциране технике – Користи јединствене структуре преусмеравања (JavaScript ка PHP крајњим тачкама) како би подржао динамичку испоруку садржаја.

Закључак: Разумевање претње TransferLoader-а

TransferLoader представља значајну претњу као прикривени програм за учитавање података способан да омогући нападе великог утицаја. Његова употреба од стране UNK_GreenSec и TA829 илуструје како сајбер криминалне групе настављају да иновирају, деле алате и искоришћавају децентрализовану инфраструктуру како би избегле откривање и оствариле своје циљеве.

Индикатори претње TransferLoader-а укључују:

  • Коришћење REM прокси услуга
  • Мамци путем имејла са позивањем на пријаве за посао или биографије
  • Преусмеравајући ланци који укључују Rebrandly линкове
  • Корисни терет хостован на платформама заснованим на IPFS-у

Организације морају остати будне, применити робусно филтрирање е-поште и веба и континуирано пратити абнормално понашање мреже повезано са овим тактикама.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,407
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...