Rabattoffert för flera licenser
Hotdatabas Skadlig programvara TransferLoader-skadlig programvara

TransferLoader-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Säkerhetsforskare drar kopplingar mellan ökända aktörer bakom RomCom RAT och en skadlig programvara som laddar ner den med namnet TransferLoader. Denna kampanj, som har riktat in sig på enheter med spionage- och ransomware-attacker, belyser sofistikerade tekniker och överlappande infrastrukturer som kräver noggrann granskning.

Två hotaktörskluster: TA829 och UNK_GreenSec

Cybersäkerhetsforskare har tillskrivit TransferLoader-relaterad aktivitet till två primära grupper av hotaktörer:

  • TA829, spåras även under alias som RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 och Void Rabisu.
  • UNK_GreenSec, ett mindre känt kluster som arbetar parallellt med liknande taktiker.

TA829 är särskilt känt för sina hybridoperationer, som kombinerar spionage och ekonomiskt motiverade attacker. Denna Rysslandsanknutna grupp har tidigare utnyttjat nolldagssårbarheter i Mozilla Firefox och Microsoft Windows för att driftsätta RomCom RAT, med inriktning på värdefulla globala organisationer.

TransferLoader: Uppkomst och roll i skadlig kodkampanjer

TransferLoader identifierades först i februari 2025 under en kampanj som involverade Morpheus ransomware, en omdöpt version av HellCat ransomware. Skadlig programvara användes mot en icke namngiven USA-baserad advokatbyrå. Till skillnad från RomCom fungerar TransferLoader främst som en smygande leveransmekanism, vilket möjliggör distribution av ytterligare skadliga nyttolaster som Metasploit och Morpheus.

TransferLoaders uppdrag är enkelt: förbli oupptäckt och leverera ytterligare skadlig kod.

Utnyttjande av REM-proxyinfrastruktur

Både TA829 och UNK_GreenSec förlitar sig på REM Proxy-tjänster, som ofta finns på komprometterade MikroTik-routrar. Dessa proxyservrar används för att dirigera skadlig trafik och dölja dess verkliga ursprung. Grupperna använder denna infrastruktur för att:

  • Skicka nätfiskemejl via gratis e-posttjänster (t.ex. Gmail, ukr.net)
  • Relätrafik för att dölja aktivitet uppströms
  • Lansera kampanjer med både nyskapade och komprometterade e-postkonton

Forskare misstänker att e-postverktyg som massgenererar avsändaradresser som ximajazehox333@gmail.com och hannahsilva1978@ukr.net används för nätfiskedistribution.

Nätfiskemekanik och nyttolastleverans

De nätfiskemeddelanden som skickas av båda klustren innehåller ofta länkar inbäddade i e-postmeddelandets brödtext eller PDF-bilagor. Offer som klickar på dessa länkar utsätts för en kedja av omdirigeringar via Rebrandly, som slutligen landar på förfalskade Google Drive- eller Microsoft OneDrive-sidor. Dessa omdirigeringar inkluderar mekanismer för att:

  • Kringgå sandlådemiljöer
  • Filtrera bort system som inte är av intresse
  • Leverera olika slutliga nyttolaster beroende på hotgruppen

Divergerande attackvägar :

  • UNK_GreenSec använder den här rutten för att distribuera TransferLoader
  • TA829 omdirigerar mål till SlipScreen-skadlig programvara

Delade verktyg och infrastruktur

Båda aktörsgrupperna visar på överlappande verktyg och infrastrukturval:

  • Användning av PuTTYs PLINK-verktyg för att etablera SSH-tunnlar
  • Hosting av skadliga verktyg på IPFS-tjänster (InterPlanetary File System)
  • Använda dynamiska PHP-baserade omdirigeringsslutpunkter för trafikfiltrering

Dessa gemensamma metoder antyder möjlig samordning eller ömsesidigt införande av effektiva taktiker.

Sociala ingenjörsteman och leveranstaktiker

Kampanjer som involverar TransferLoader utger sig ofta för att vara e-postmeddelanden med jobbannonser och lockar offer med länkar som påstås leda till PDF-CV. I verkligheten utlöser länken en nedladdning av TransferLoader som finns på IPFS-webbplatser.

Viktiga tekniska höjdpunkter i TransferLoader-driften

Undviker detektion – Använder omdirigering, filtrering och decentraliserad hosting för att kringgå traditionella försvar.

Nyttoleverans – Fungerar som en laddare för farligare skadlig kod, inklusive ransomware och verktyg för fjärråtkomst.

Differentierade tekniker – Använder unika omdirigeringsstrukturer (JavaScript till PHP-slutpunkter) för att stödja dynamisk innehållsleverans.

Slutsats: Förstå TransferLoader-hotet

TransferLoader representerar ett betydande hot som en smygande laddare som kan möjliggöra attacker med hög effekt. Dess användning av både UNK_GreenSec och TA829 illustrerar hur cyberkriminella grupper fortsätter att förnya sig, dela verktyg och utnyttja decentraliserad infrastruktur för att undvika upptäckt och uppnå sina mål.

Indikatorer på TransferLoader-hotet inkluderar:

  • Användning av REM Proxy-tjänster
  • E-post lockar med hänvisning till jobbansökningar eller CV
  • Omdirigera kedjor som involverar Rebrandly-länkar
  • Nyttalaster som lagras på IPFS-baserade plattformar

Organisationer måste förbli vaksamma, implementera robust e-post- och webbfiltrering och kontinuerligt övervaka onormalt nätverksbeteende kopplat till dessa taktiker.

Trendigt

Mest sedda

Läser in...