IDAT Loader
Natuklasan ng mga mananaliksik ng cybersecurity ang isang kampanya sa pag-atake, na kinilala bilang isang banta sa isang Ukrainian Trojan na tinatawag na Remcos RAT, na pinadali ng isang malware loader na kilala bilang IDAT Loader. Ang Computer Emergency Response Team ng Ukraine (CERT-UA), na sumusubaybay sa aktor ng banta bilang UAC-0184 (TA544), ay nag-attribute sa pag-atake.
Ang pag-atake, na isinagawa sa pamamagitan ng paggamit ng IDAT Loader, ay nagsasama ng steganography bilang isang pamamaraan. Kahit na ang steganographic, o 'Stego,' na mga diskarte ay malawak na kinikilala. Kasama sa mga steganographic na diskarte ang pagtatago ng impormasyon sa loob ng isa pang medium, tulad ng pagtatago ng data sa loob ng mga larawan, audio file, o iba pang digital na nilalaman, upang paganahin ang patagong komunikasyon nang hindi nakakaakit ng pansin. Napakahalagang maunawaan ang kanilang papel sa pag-iwas sa mga hakbang sa pagtatanggol.
Talaan ng mga Nilalaman
Pinapadali ng IDAT Loader ang Paghahatid ng Mga Susunod na Yugto ng Mga Payload ng Malware
Ang IDAT Loader, na may pagkakatulad sa isa pang pamilya ng loader na pinangalanang Hijack Loader, ay aktibong nag-deploy ng iba't ibang mga payload, kabilang ang DanaBot , SystemBC , at ang RedLine Stealer, sa loob ng ilang buwan. Ang loader na ito ay ginamit ng isang banta na aktor na kinilala bilang TA544 upang ipalaganap ang Remcos RAT at SystemBC sa pamamagitan ng mga pag-atake ng phishing.
Ang kampanya sa phishing, na unang inihayag ng CERT-UA noong unang bahagi ng Enero 2024, ay nagsasangkot ng paggamit ng mga pain na may temang digmaan upang simulan ang isang chain ng impeksyon. Ang chain na ito sa huli ay humahantong sa pag-deploy ng IDAT Loader, na gumagamit ng naka-embed na steganographic PNG upang mahanap at kunin ang Remcos RAT.
Ang Remcos RAT ay Madalas na Na-deploy sa mga Cybercriminal Campaign
Ang REMCOS RAT ay nakatayo bilang isang laganap na Remote Access Trojan na malawakang ginagamit sa parehong cybercriminal at espionage na mga pagsusumikap. Kilala sa kakayahang kunin ang kontrol ng mga computer, maaaring mangalap ng mga keystroke, audio, video, screenshot, at data ng system ang REMCOS habang pinapadali din ang paghahatid ng mga karagdagang malware payload. Karaniwan, ang malware na ito ay pinapalaganap sa pamamagitan ng mga phishing na email na naglalaman ng mga nakakahamak na attachment o link, na humahantong sa pag-install ng RAT. Kapansin-pansin, ang REMCOS ay naobserbahang ipinamahagi sa pamamagitan ng iba't ibang paraan, kabilang ang mga malware loader. Ang malware ay ginamit nang may malisya mula noong kalagitnaan ng 2010s.
Sa matagumpay na pagpapatupad ng REMCOS, ang mga banta ng aktor ay nakakakuha ng komprehensibong kontrol at mga kakayahan sa pagsubaybay sa target na sistema. Nagbibigay-daan ito sa kanila na lihim na mag-exfiltrate ng sensitibong data sa loob ng mahabang panahon, na posibleng maiwasan ang pagtuklas. Ang paggamit ng naturang sensitibong impormasyon, depende sa target, ay nagdadala ng panganib ng mga biktima na nahaharap sa blackmail, potensyal na pagkawala ng trabaho kung ang data ng kumpanya ay nakompromiso, at ang pagnanakaw ng data ng organisasyon. Ang ninakaw na data na ito ay maaaring samantalahin upang ayusin ang malakihan, sopistikadong mga pag-atake, na magreresulta sa malubha at posibleng hindi na maibabalik na pinsala sa mga apektadong organisasyon o kabuhayan ng mga indibidwal.
Ang Ukraine ay Nananatiling Target ng Cybercriminal Attacks ng mga Hacker Group na Nakahanay sa Russia
Nagbabala rin ang CERT-UA tungkol sa isang naka-target na cyberattack na naglalayong mahawahan ang mga computer system na ginagamit ng Armed Forces of Ukraine gamit ang Cookbox backdoor.
Ayon sa CERT-UA, isang hindi kilalang indibidwal ang namahagi ng XLS na dokumento na pinangalanang '1_ф_5.39-2024.xlsm' sa pamamagitan ng Signal messenger sa ilang mga tauhan ng militar, na nagsasabing may mga isyu sa pagbuo ng ulat. Ang nasabing file ay naglalaman ng karagdagang VBA script na nag-trigger sa pag-download at pagpapatupad ng PowerShell script na pinangalanang 'mob2002.data.'
Ang PowerShell script na na-download mula sa GitHub ay gumagawa ng ilang pagbabago sa OS registry. Higit na partikular, ibinabagsak nito ang isang base64-encoded payload sa 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache,' na sa huli ay nagpapatupad ng Cookbox malware. Ang Cookbox ay isang PowerShell script na nagpapatupad ng functionality para sa pag-download at pag-execute ng PowerShell cmdlet.
Ang mga serbisyo ng Dynamic na DNS (gaya ng gotdns.ch, myftp.biz) at Cloudflare Workers ay ginagamit para sa pagpapatakbo ng mga command at control server. Ang inilarawan na aktibidad, na sinusubaybayan bilang UAC-0149, ay nagpapatuloy mula pa noong taglagas 2023, ayon sa data na ipinahayag ng mga mananaliksik.
