ตัวโหลด IDAT

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการโจมตี ซึ่งระบุว่าเป็นภัยคุกคามต่อโทรจันยูเครนที่เรียกว่า Remcos RAT ซึ่งอำนวยความสะดวกโดยตัวโหลดมัลแวร์ที่เรียกว่า IDAT Loader ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) ซึ่งติดตามผู้แสดงภัยคุกคามในชื่อ UAC-0184 (TA544) ได้ระบุแหล่งที่มาของการโจมตี

การโจมตีที่ดำเนินการผ่านการใช้ IDAT Loader ได้รวมเอาการอำพรางตัวเป็นเทคนิค แม้ว่าเทคนิค Steganographic หรือ 'Stego' จะได้รับการยอมรับอย่างกว้างขวาง เทคนิค Steganographic เกี่ยวข้องกับการปกปิดข้อมูลภายในสื่ออื่น เช่น การซ่อนข้อมูลภายในรูปภาพ ไฟล์เสียง หรือเนื้อหาดิจิทัลอื่น ๆ เพื่อให้สามารถสื่อสารอย่างลับๆ โดยไม่ดึงดูดความสนใจ จำเป็นอย่างยิ่งที่จะต้องเข้าใจบทบาทของพวกเขาในการหลีกเลี่ยงมาตรการป้องกัน

IDAT Loader อำนวยความสะดวกในการส่งมอบเพย์โหลดมัลแวร์ขั้นต่อไป

IDAT Loader ซึ่งมีความคล้ายคลึงกับตระกูลโหลดเดอร์อื่นชื่อ Hijack Loader ได้ใช้งานเพย์โหลดต่างๆ รวมถึง DanaBot , SystemBC และ RedLine Stealer อย่างจริงจังในช่วงหลายเดือนที่ผ่านมา ตัวโหลดนี้ถูกใช้โดยผู้คุกคามที่ระบุว่าเป็น TA544 เพื่อเผยแพร่ Remcos RAT และ SystemBC ผ่านการโจมตีแบบฟิชชิ่ง

แคมเปญฟิชชิ่งดังกล่าว ซึ่งเปิดเผยครั้งแรกโดย CERT-UA เมื่อต้นเดือนมกราคม พ.ศ. 2567 เกี่ยวข้องกับการใช้เหยื่อสงครามเพื่อเริ่มห่วงโซ่การติดเชื้อ ในที่สุดห่วงโซ่นี้นำไปสู่การปรับใช้ IDAT Loader ซึ่งใช้ PNG แบบ Steganographic ที่ฝังอยู่เพื่อค้นหาและแยก Remcos RAT

Remcos RAT มักถูกนำไปใช้ในการรณรงค์ทางอาญาทางไซเบอร์

REMCOS RAT ย่อมาจาก Remote Access Trojan ที่แพร่หลายซึ่งมีการใช้งานอย่างกว้างขวางทั้งในอาชญากรไซเบอร์และการจารกรรม REMCOS มีชื่อเสียงในด้านความสามารถในการยึดการควบคุมคอมพิวเตอร์ โดยสามารถรวบรวมการกดแป้นพิมพ์ เสียง วิดีโอ ภาพหน้าจอ และข้อมูลระบบ ในขณะเดียวกันก็อำนวยความสะดวกในการส่งมอบเพย์โหลดมัลแวร์เพิ่มเติมอีกด้วย โดยทั่วไปแล้ว มัลแวร์นี้แพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้ง RAT โดยเฉพาะอย่างยิ่ง REMCOS ได้รับการสังเกตว่ามีการเผยแพร่ผ่านวิธีการต่างๆ รวมถึงตัวโหลดมัลแวร์ มัลแวร์นี้ถูกนำไปใช้ในทางที่ผิดตั้งแต่กลางปี 2010

เมื่อการดำเนินการ REMCOS ประสบความสำเร็จ ผู้ดำเนินการภัยคุกคามจะได้รับการควบคุมและการเฝ้าระวังที่ครอบคลุมเหนือระบบเป้าหมาย ซึ่งช่วยให้พวกเขาสามารถขโมยข้อมูลที่ละเอียดอ่อนอย่างลับๆ เป็นระยะเวลานาน ซึ่งอาจหลีกเลี่ยงการตรวจจับได้ การใช้ข้อมูลที่ละเอียดอ่อนดังกล่าวขึ้นอยู่กับเป้าหมาย มีความเสี่ยงที่เหยื่อจะถูกแบล็กเมล์ โอกาสตกงานหากข้อมูลของบริษัทถูกบุกรุก และการขโมยข้อมูลองค์กร ข้อมูลที่ถูกขโมยไปนี้สามารถนำไปใช้ในการโจมตีขนาดใหญ่และซับซ้อน ส่งผลให้เกิดความเสียหายร้ายแรงและอาจแก้ไขไม่ได้ต่อองค์กรที่ได้รับผลกระทบหรือวิถีชีวิตของบุคคล

ยูเครนยังคงเป็นเป้าหมายของการโจมตีทางอาญาทางไซเบอร์โดยกลุ่มแฮ็กเกอร์ที่สอดคล้องกับรัสเซีย

CERT-UA ยังได้เตือนถึงการโจมตีทางไซเบอร์แบบกำหนดเป้าหมายที่มีเป้าหมายเพื่อแพร่เชื้อระบบคอมพิวเตอร์ที่กองทัพยูเครนใช้งานด้วยแบ็คดอร์ Cookbox

ตามข้อมูลของ CERT-UA บุคคลที่ไม่ปรากฏชื่อได้แจกจ่ายเอกสาร XLS ชื่อ '1_ф_5.39-2024.xlsm' ผ่านทางผู้ส่งสารสัญญาณให้กับเจ้าหน้าที่ทหารหลายคน โดยอ้างว่ามีปัญหาในการจัดทำรายงาน ไฟล์ดังกล่าวมีสคริปต์ VBA เพิ่มเติมที่ทริกเกอร์การดาวน์โหลดและการทำงานของสคริปต์ PowerShell ชื่อ 'mob2002.data'

สคริปต์ PowerShell ที่ดาวน์โหลดจาก GitHub ทำการเปลี่ยนแปลงบางอย่างในรีจิสทรีของระบบปฏิบัติการ โดยเฉพาะอย่างยิ่งมันจะลดเพย์โหลดที่เข้ารหัส base64 ใน 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' ซึ่งท้ายที่สุดจะเรียกใช้งานมัลแวร์ Cookbox Cookbox เป็นสคริปต์ PowerShell ที่ใช้ฟังก์ชันสำหรับการดาวน์โหลดและเรียกใช้ PowerShell cmdlets

บริการ DNS แบบไดนามิก (เช่น gotdns.ch, myftp.biz) และ Cloudflare Workers ใช้สำหรับการดำเนินการของเซิร์ฟเวอร์คำสั่งและการควบคุม กิจกรรมที่อธิบายไว้ซึ่งมีการติดตามในชื่อ UAC-0149 นั้นดำเนินไปอย่างต่อเนื่องตั้งแต่อย่างน้อยฤดูใบไม้ร่วงปี 2023 ตามข้อมูลที่นักวิจัยเปิดเผย