IDAT Yükleyici
Siber güvenlik araştırmacıları, IDAT Yükleyicisi olarak bilinen bir kötü amaçlı yazılım yükleyicisi tarafından kolaylaştırılan, Remcos RAT adlı Ukrayna Truva Atı'na yönelik bir tehdit olarak tanımlanan bir saldırı kampanyası keşfettiler. Tehdit aktörünü UAC-0184 (TA544) olarak takip eden Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), saldırıyı sorumlu tuttu.
IDAT Loader kullanılarak gerçekleştirilen saldırı, bir teknik olarak steganografiyi içeriyor. Her ne kadar steganografik veya 'Stego' teknikleri geniş çapta kabul görse de. Steganografik teknikler, dikkat çekmeden gizli iletişimi sağlamak için görüntülerin, ses dosyalarının veya diğer dijital içeriklerin içindeki verileri gizlemek gibi bilgileri başka bir ortam içinde gizlemeyi içerir. Savunma önlemlerinden kaçmadaki rollerini anlamak çok önemlidir.
İçindekiler
IDAT Yükleyici, Sonraki Aşama Kötü Amaçlı Yazılım Yüklerinin Teslimini Kolaylaştırıyor
Hijack Loader adlı başka bir yükleyici ailesiyle benzerlikleri olan IDAT Loader, birkaç aydan beri DanaBot , SystemBC ve RedLine Stealer dahil olmak üzere çeşitli yükleri aktif olarak dağıtıyor. Bu yükleyici, TA544 olarak tanımlanan bir tehdit aktörü tarafından, kimlik avı saldırıları yoluyla Remcos RAT ve SystemBC'yi yaymak için kullanıldı.
İlk olarak Ocak 2024'ün başlarında CERT-UA tarafından açıklanan kimlik avı kampanyası, bir enfeksiyon zinciri başlatmak için savaş temalı yemlerin kullanılmasını içeriyor. Bu zincir sonuçta Remcos RAT'ın yerini tespit etmek ve çıkarmak için yerleşik bir steganografik PNG kullanan IDAT Yükleyicinin konuşlandırılmasına yol açar.
Remcos RAT Genellikle Siber Suç Kampanyalarında Kullanılıyor
REMCOS RAT, hem siber suçlarda hem de casusluk faaliyetlerinde yaygın olarak kullanılan yaygın bir Uzaktan Erişim Truva Atı olarak duruyor. Bilgisayarların kontrolünü ele geçirme yeteneğiyle tanınan REMCOS, tuş vuruşlarını, sesleri, videoları, ekran görüntülerini ve sistem verilerini toplarken aynı zamanda ek kötü amaçlı yazılım yüklerinin teslimini de kolaylaştırıyor. Genellikle bu kötü amaçlı yazılım, kötü amaçlı ekler veya bağlantılar içeren kimlik avı e-postaları yoluyla yayılır ve RAT'ın yüklenmesine yol açar. Özellikle REMCOS'un kötü amaçlı yazılım yükleyicileri de dahil olmak üzere çeşitli yollarla dağıtıldığı gözlemlendi. Kötü amaçlı yazılım 2010'ların ortasından bu yana kötü amaçlı olarak kullanılıyor.
REMCOS'un başarılı bir şekilde uygulanmasının ardından tehdit aktörleri, hedef sistem üzerinde kapsamlı kontrol ve gözetim yetenekleri kazanır. Bu, hassas verileri uzun bir süre boyunca gizlice dışarı çıkarmalarına ve potansiyel olarak tespit edilmelerini engellemelerine olanak tanır. Bu tür hassas bilgilerin kullanılması, hedefe bağlı olarak mağdurların şantajla karşı karşıya kalması, şirket verilerinin ele geçirilmesi durumunda potansiyel iş kaybı ve kurumsal verilerin çalınması riskini taşır. Çalınan bu veriler daha sonra büyük ölçekli, karmaşık saldırılar düzenlemek için kullanılabilir ve bu da etkilenen kuruluşlara veya bireylerin geçim kaynaklarına ciddi ve muhtemelen onarılamaz zararlar verebilir.
Ukrayna, Rusya ile Bağlantılı Hacker Gruplarının Siber Suç Saldırılarının Hedefi Olmaya Devam Ediyor
CERT-UA ayrıca Ukrayna Silahlı Kuvvetleri tarafından kullanılan bilgisayar sistemlerine Cookbox arka kapısı bulaştırmayı amaçlayan hedefli bir siber saldırı konusunda da uyardı.
CERT-UA'ya göre, kimliği belirsiz bir kişi, Signal messenger aracılığıyla '1_ф_5.39-2024.xlsm' adlı bir XLS belgesini, rapor oluşturmayla ilgili sorunlar yaşadığını iddia ederek çok sayıda askeri personel arasında dağıttı. Söz konusu dosya, 'mob2002.data' adlı bir PowerShell betiğinin indirilmesini ve çalıştırılmasını tetikleyen ek bir VBA betiği içeriyordu.
GitHub'dan indirilen PowerShell betiği, işletim sistemi kayıt defterinde bazı değişiklikler yapar. Daha spesifik olarak, 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' içine base64 kodlu bir veri bırakır ve sonuçta Cookbox kötü amaçlı yazılımını çalıştırır. Cookbox, PowerShell cmdlet'lerini indirmek ve yürütmek için işlevsellik uygulayan bir PowerShell betiğidir.
Komuta ve kontrol sunucularının çalışması için dinamik DNS hizmetlerinden (gotdns.ch, myftp.biz gibi) ve Cloudflare Worker'lardan yararlanılmaktadır. Araştırmacıların ortaya koyduğu verilere göre, UAC-0149 olarak takip edilen açıklanan aktivite en az 2023 sonbaharından beri devam ediyor.
