IDAT లోడర్
సైబర్ సెక్యూరిటీ పరిశోధకులు రెమ్కోస్ RAT అని పిలువబడే ఉక్రేనియన్ ట్రోజన్కు ముప్పుగా గుర్తించబడిన దాడి ప్రచారాన్ని కనుగొన్నారు, ఇది IDAT లోడర్ అని పిలువబడే మాల్వేర్ లోడర్ ద్వారా సులభతరం చేయబడింది. ఉక్రెయిన్కు చెందిన కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA), ముప్పు నటుడిని UAC-0184 (TA544)గా ట్రాక్ చేస్తోంది, దాడికి కారణమని పేర్కొంది.
IDAT లోడర్ ఉపయోగించడం ద్వారా అమలు చేయబడిన దాడి, స్టెగానోగ్రఫీని ఒక సాంకేతికతగా చేర్చింది. స్టెగానోగ్రాఫిక్ లేదా 'స్టెగో' పద్ధతులు విస్తృతంగా గుర్తించబడినప్పటికీ. స్టెగానోగ్రాఫిక్ పద్ధతులు దృష్టిని ఆకర్షించకుండా రహస్య కమ్యూనికేషన్ను ఎనేబుల్ చేయడానికి ఇమేజ్లు, ఆడియో ఫైల్లు లేదా ఇతర డిజిటల్ కంటెంట్లో డేటాను దాచడం వంటి మరొక మాధ్యమంలో సమాచారాన్ని దాచడం వంటివి ఉంటాయి. రక్షణ చర్యలను తప్పించుకోవడంలో వారి పాత్రను అర్థం చేసుకోవడం చాలా కీలకం.
విషయ సూచిక
IDAT లోడర్ తదుపరి దశ మాల్వేర్ పేలోడ్ల డెలివరీని సులభతరం చేస్తుంది
IDAT లోడర్, హైజాక్ లోడర్ అనే పేరు గల మరొక లోడర్ కుటుంబంతో సారూప్యతను కలిగి ఉంది, చాలా నెలలుగా DanaBot , SystemBC , మరియు రెడ్లైన్ స్టీలర్తో సహా వివిధ పేలోడ్లను చురుకుగా అమలు చేస్తోంది. ఫిషింగ్ దాడుల ద్వారా Remcos RAT మరియు SystemBCలను వ్యాప్తి చేయడానికి TA544గా గుర్తించబడిన ముప్పు నటుడు ఈ లోడర్ని ఉపయోగించారు.
ఫిషింగ్ ప్రచారం, ప్రారంభంలో జనవరి 2024లో CERT-UA ద్వారా బహిర్గతం చేయబడింది, ఇన్ఫెక్షన్ చైన్ను ప్రారంభించడానికి యుద్ధ నేపథ్యం గల ఎరలను ఉపయోగించడం జరుగుతుంది. ఈ గొలుసు అంతిమంగా IDAT లోడర్ యొక్క విస్తరణకు దారి తీస్తుంది, ఇది Remcos RATని గుర్తించడానికి మరియు సంగ్రహించడానికి పొందుపరిచిన స్టెగానోగ్రాఫిక్ PNGని ఉపయోగిస్తుంది.
రెమ్కోస్ RAT తరచుగా సైబర్క్రిమినల్ క్యాంపెయిన్లలో ఉపయోగించబడుతుంది
REMCOS RAT అనేది ప్రబలమైన రిమోట్ యాక్సెస్ ట్రోజన్గా నిలుస్తుంది, ఇది సైబర్క్రిమినల్ మరియు గూఢచర్య ప్రయత్నాలలో విస్తృతంగా ఉపయోగించబడింది. కంప్యూటర్ల నియంత్రణను స్వాధీనం చేసుకునే సామర్థ్యానికి ప్రసిద్ధి చెందిన REMCOS అదనపు మాల్వేర్ పేలోడ్ల డెలివరీని సులభతరం చేస్తూ కీస్ట్రోక్లు, ఆడియో, వీడియో, స్క్రీన్షాట్లు మరియు సిస్టమ్ డేటాను సేకరించగలదు. సాధారణంగా, ఈ మాల్వేర్ హానికరమైన జోడింపులు లేదా లింక్లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్ల ద్వారా ప్రచారం చేయబడుతుంది, ఇది RAT యొక్క ఇన్స్టాలేషన్కు దారి తీస్తుంది. ముఖ్యంగా, మాల్వేర్ లోడర్లతో సహా వివిధ మార్గాల ద్వారా REMCOS పంపిణీ చేయబడటం గమనించబడింది. మాల్వేర్ 2010ల మధ్యకాలం నుండి హానికరంగా ఉపయోగించబడుతోంది.
REMCOS విజయవంతంగా అమలు చేయబడిన తర్వాత, ముప్పు నటులు లక్ష్య వ్యవస్థపై సమగ్ర నియంత్రణ మరియు నిఘా సామర్థ్యాలను పొందుతారు. ఇది చాలా కాలం పాటు సున్నితమైన డేటాను రహస్యంగా వెలికితీయడానికి వీలు కల్పిస్తుంది, ఇది గుర్తించడాన్ని నివారించవచ్చు. లక్ష్యాన్ని బట్టి అటువంటి సున్నితమైన సమాచారాన్ని ఉపయోగించడం వల్ల బాధితులు బ్లాక్మెయిల్ను ఎదుర్కొనే ప్రమాదం, కంపెనీ డేటా రాజీపడితే ఉద్యోగ నష్టం మరియు సంస్థాగత డేటా దొంగిలించబడే ప్రమాదం ఉంది. ఈ దొంగిలించబడిన డేటా పెద్ద-స్థాయి, అధునాతన దాడులను రూపొందించడానికి ఉపయోగించబడవచ్చు, దీని ఫలితంగా ప్రభావిత సంస్థలు లేదా వ్యక్తుల జీవనోపాధికి తీవ్రమైన మరియు బహుశా కోలుకోలేని హాని జరుగుతుంది.
రష్యాతో జతకట్టిన హ్యాకర్ గ్రూప్ల సైబర్క్రిమినల్ దాడులకు ఉక్రెయిన్ లక్ష్యంగా ఉంది
CERT-UA ఉక్రెయిన్ సాయుధ దళాలు ఉపయోగించే కంప్యూటర్ సిస్టమ్లను కుక్బాక్స్ బ్యాక్డోర్తో సంక్రమించే లక్ష్యంతో కూడిన సైబర్టాక్ గురించి కూడా హెచ్చరించింది.
CERT-UA ప్రకారం, ఒక గుర్తుతెలియని వ్యక్తి '1_ф_5.39-2024.xlsm' అనే పేరు గల XLS డాక్యుమెంట్ను సిగ్నల్ మెసెంజర్ ద్వారా అనేక మంది సైనిక సిబ్బందికి పంపిణీ చేసారు, నివేదిక రూపొందించడంలో సమస్యలు ఉన్నాయని పేర్కొన్నారు. పేర్కొన్న ఫైల్ అదనపు VBA స్క్రిప్ట్ను కలిగి ఉంది, ఇది 'mob2002.data' పేరుతో పవర్షెల్ స్క్రిప్ట్ను డౌన్లోడ్ చేయడం మరియు అమలు చేయడం ప్రారంభించింది.
GitHub నుండి డౌన్లోడ్ చేయబడిన PowerShell స్క్రిప్ట్ OS రిజిస్ట్రీలో కొన్ని మార్పులను చేస్తుంది. మరింత ప్రత్యేకంగా, ఇది 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache'లో బేస్64-ఎన్కోడ్ చేసిన పేలోడ్ను తగ్గిస్తుంది, ఇది చివరికి కుక్బాక్స్ మాల్వేర్ను అమలు చేస్తుంది. కుక్బాక్స్ అనేది పవర్షెల్ స్క్రిప్ట్, ఇది పవర్షెల్ cmdletలను డౌన్లోడ్ చేయడానికి మరియు అమలు చేయడానికి కార్యాచరణను అమలు చేస్తుంది.
కమాండ్ మరియు కంట్రోల్ సర్వర్ల ఆపరేషన్ కోసం డైనమిక్ DNS సేవలు (gotdns.ch, myftp.biz వంటివి) మరియు Cloudflare వర్కర్లు ఉపయోగించబడతాయి. పరిశోధకులు వెల్లడించిన డేటా ప్రకారం, వివరించిన కార్యాచరణ, UAC-0149గా ట్రాక్ చేయబడింది, కనీసం 2023 శరదృతువు నుండి కొనసాగుతోంది.
