IDAT-lastare

Cybersäkerhetsforskare har upptäckt en attackkampanj, identifierad som ett hot mot en ukrainsk trojan som kallas Remcos RAT, som underlättas av en skadlig programvara känd som IDAT Loader. Computer Emergency Response Team i Ukraina (CERT-UA), som spårar hotaktören som UAC-0184 (TA544), har tillskrivit attacken.

Attacken, utförd med hjälp av IDAT Loader, innehåller steganografi som en teknik. Även om steganografiska, eller "Stego", tekniker är allmänt erkända. Steganografiska tekniker innebär att dölja information i ett annat medium, som att dölja data i bilder, ljudfiler eller annat digitalt innehåll, för att möjliggöra hemlig kommunikation utan att väcka uppmärksamhet. Det är avgörande att förstå deras roll när det gäller att undvika försvarsåtgärder.

IDAT Loader underlättar leveransen av skadlig programvara i nästa steg

IDAT Loader, som har likheter med en annan lastarfamilj vid namn Hijack Loader, har aktivt distribuerat olika nyttolaster, inklusive DanaBot , SystemBC och RedLine Stealer, under flera månader. Den här laddaren har använts av en hotaktör identifierad som TA544 för att sprida Remcos RAT och SystemBC genom nätfiskeattacker.

Nätfiskekampanjen, som ursprungligen avslöjades av CERT-UA i början av januari 2024, innebär att man använder beten med krigstema för att initiera en infektionskedja. Denna kedja leder slutligen till utplaceringen av IDAT Loader, som använder en inbäddad steganografisk PNG för att lokalisera och extrahera Remcos RAT.

Remcos RAT används ofta i cyberkriminella kampanjer

REMCOS RAT står som en utbredd fjärråtkomsttrojan som flitigt används i både cyberkriminella och spionagearbeten. REMCOS är känt för sin förmåga att ta kontroll över datorer och kan samla in tangenttryckningar, ljud, video, skärmdumpar och systemdata samtidigt som det underlättar leveransen av ytterligare skadlig programvara. Vanligtvis sprids denna skadliga programvara genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar, vilket leder till installationen av RAT. Särskilt har REMCOS observerats distribueras på olika sätt, inklusive skadlig programvara. Skadlig programvara har använts med uppsåt sedan mitten av 2010-talet.

Efter framgångsrikt genomförande av REMCOS får hotaktörerna omfattande kontroll- och övervakningsmöjligheter över målsystemet. Detta gör det möjligt för dem att i hemlighet exfiltrera känslig data under en längre period, vilket potentiellt undviker upptäckt. Användningen av sådan känslig information, beroende på målet, medför risken för att offer utsätts för utpressning, potentiell förlust av arbetstillfällen om företagsdata äventyras och stöld av organisationsdata. Dessa snattade data kan sedan utnyttjas för att iscensätta storskaliga, sofistikerade attacker, vilket resulterar i allvarlig och möjligen irreparabel skada på de drabbade organisationerna eller individernas försörjning.

Ukraina är fortfarande ett mål för cyberkriminella attacker av hackergrupper som är i linje med Ryssland

CERT-UA har också varnat för en riktad cyberattack som syftar till att infektera de datorsystem som används av Ukrainas väpnade styrkor med Cookbox-bakdörren.

Enligt CERT-UA distribuerade en oidentifierad person ett XLS-dokument med namnet '1_ф_5.39-2024.xlsm' via Signal Messenger bland flera militärer, som påstod sig ha problem med rapportbildningen. Nämnda fil innehöll ytterligare ett VBA-skript som utlöste nedladdningen och körningen av ett PowerShell-skript med namnet 'mob2002.data'.

PowerShell-skriptet som laddats ner från GitHub gör några ändringar i OS-registret. Mer specifikt släpper den en base64-kodad nyttolast i 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', som till slut exekverar Cookbox skadlig kod. Cookbox är ett PowerShell-skript som implementerar funktionalitet för nedladdning och exekvering av PowerShell-cmdlets.

Dynamiska DNS-tjänster (som gotdns.ch, myftp.biz) och Cloudflare Workers används för driften av kommando- och kontrollservrar. Den beskrivna aktiviteten, spårad som UAC-0149, har pågått sedan åtminstone hösten 2023, enligt data som avslöjats av forskarna.