Шкідливе програмне забезпечення TransferLoader
Дослідники з безпеки виявляють зв'язки між сумнозвісними акторами, що стоять за хакерською атакою RomCom RAT, та завантажувачем шкідливого програмного забезпечення під назвою TransferLoader. Ця кампанія, спрямована на організації зі шпигунським програмним забезпеченням та атаками програм-вимагачів, виявляє складні методи та інфраструктури, що дублюються, що потребують ретельного вивчення.
Зміст
Два кластери загроз: TA829 та UNK_GreenSec
Дослідники з кібербезпеки пов'язують діяльність, пов'язану з TransferLoader, з двома основними групами зловмисників:
- TA829, також відстежується під такими псевдонімами, як RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 та Void Rabisu.
- UNK_GreenSec, менш відомий кластер, що працює паралельно з аналогічною тактикою.
TA829 особливо відома своїми гібридними операціями, що поєднують шпигунство та фінансово мотивовані атаки. Ця пов'язана з Росією група раніше використовувала вразливості нульового дня в Mozilla Firefox та Microsoft Windows для розгортання RomCom RAT, спрямованої проти цінних глобальних організацій.
TransferLoader: Поява та роль у кампаніях зі шкідливим програмним забезпеченням
TransferLoader вперше було виявлено в лютому 2025 року під час кампанії, пов'язаної з програмою-вимагачем Morpheus, перейменованою версією програми-вимагача HellCat. Шкідливе програмне забезпечення було використано проти неназваної юридичної фірми зі США. На відміну від RomCom, TransferLoader в основному служить прихованим механізмом доставки, що дозволяє розгортати додаткові шкідливі корисні навантаження, такі як Metasploit та Morpheus.
Місія TransferLoader проста: залишатися непоміченим та поширювати подальше шкідливе програмне забезпечення.
Використання інфраструктури проксі-сервера REM
Як TA829, так і UNK_GreenSec покладаються на проксі-сервіси REM, які часто розміщуються на скомпрометованих маршрутизаторах MikroTik. Ці проксі-сервери використовуються для маршрутизації шкідливого трафіку, маскуючи його справжнє походження. Групи використовують цю інфраструктуру для:
- Надсилайте фішингові електронні листи через безкоштовні поштові сервіси (наприклад, Gmail, ukr.net)
- Ретрансляція трафіку для приховування активності вгорі потоку
- Запускайте кампанії, використовуючи як новостворені, так і скомпрометовані облікові записи електронної пошти
Дослідники підозрюють використання інструментів для створення електронних листів, які масово генерують адреси відправників, такі як ximajazehox333@gmail.com та hannahsilva1978@ukr.net, для розповсюдження фішингових листів.
Механіка фішингу та доставка корисного навантаження
Фішингові повідомлення, що надсилаються обома кластерами, часто містять посилання, вбудовані в тіло електронного листа або вкладення PDF. Жертви, які натискають на ці посилання, піддаються ланцюговому переадресуванню через Rebrandly, зрештою потрапляючи на підроблені сторінки Google Диска або Microsoft OneDrive. Ці переадресації включають механізми для:
- Обхід ізольованих середовищ
- Відфільтруйте системи, які вас не цікавлять
- Доставляти різні кінцеві корисні навантаження залежно від групи загроз
Розбіжні шляхи атаки :
- UNK_GreenSec використовує цей маршрут для розгортання TransferLoader
- TA829 перенаправляє цілі на шкідливе програмне забезпечення SlipScreen
Спільні інструменти та інфраструктура
Обидві групи учасників демонструють перекриваючі набори інструментів та варіанти інфраструктури:
- Використання утиліти PLINK від PuTTY для створення SSH-тунелів
- Розміщення шкідливих утиліт на сервісах IPFS (міжпланетної файлової системи)
- Використання динамічних кінцевих точок перенаправлення на основі PHP для фільтрації трафіку
Ці спільні методи передбачають можливу координацію або взаємне впровадження ефективних тактик.
Теми та тактики соціальної інженерії
Кампанії за участю TransferLoader часто маскуються під електронні листи з пропозиціями роботи, заманюючи жертв посиланнями, які нібито ведуть на резюме у форматі PDF. Насправді посилання запускає завантаження TransferLoader, розміщеного на веб-сайтах IPFS.
Ключові технічні особливості операцій TransferLoader
Уникає виявлення – використовує перенаправлення, фільтрацію та децентралізований хостинг для обходу традиційних засобів захисту.
Доставка корисного навантаження – виконує функцію завантажувача для більш небезпечних шкідливих програм, включаючи програми-вимагачі та інструменти віддаленого доступу.
Диференційовані методи – використовує унікальні структури перенаправлення (кінцеві точки JavaScript на PHP) для підтримки динамічної доставки контенту.
Висновок: Розуміння загрози TransferLoader
TransferLoader являє собою значну загрозу як прихований завантажувач, здатний здійснювати потужні атаки. Його використання як UNK_GreenSec, так і TA829 ілюструє, як кіберзлочинні групи продовжують впроваджувати інновації, обмінюватися інструментами та використовувати децентралізовану інфраструктуру, щоб уникнути виявлення та досягти своїх цілей.
Індикатори загрози TransferLoader включають:
- Використання послуг REM Proxy
- Заманливі електронні листи з посиланнями на заявки на роботу або резюме
- Ланцюжки перенаправлення, що включають посилання Rebrandly
- Корисні навантаження, розміщені на платформах на основі IPFS
Організації повинні залишатися пильними, впроваджувати надійну фільтрацію електронної пошти та веб-сторінок, а також постійно стежити за аномальною поведінкою мережі, пов’язаною з цими тактиками.
