Завантажувач IDAT
Дослідники з кібербезпеки виявили кампанію атаки, визначену як загроза українському трояну під назвою Remcos RAT, якій сприяє завантажувач шкідливих програм, відомий як IDAT Loader. Команда реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA), відстежуючи загрозу як UAC-0184 (TA544), приписала атаку.
Атака, виконана за допомогою IDAT Loader, включає стеганографію як техніку. Хоча стеганографічні, або «стего» методи широко визнані. Стеганографічні методи передбачають приховування інформації в іншому носії, наприклад приховання даних у зображеннях, аудіофайлах або іншому цифровому вмісті, щоб забезпечити приховану комунікацію, не привертаючи уваги. Важливо усвідомити їх роль в ухиленні від заходів захисту.
Зміст
Завантажувач IDAT полегшує доставку шкідливих програм наступного етапу
Завантажувач IDAT, подібний до іншого сімейства завантажувачів під назвою Hijack Loader, протягом кількох місяців активно розгортав різні корисні навантаження, зокрема DanaBot , SystemBC і RedLine Stealer . Цей завантажувач використовувався зловмисником, ідентифікованим як TA544, для розповсюдження Remcos RAT і SystemBC за допомогою фішингових атак.
Фішингова кампанія, вперше оприлюднена CERT-UA на початку січня 2024 року, передбачає використання приманок на військову тематику для ініціювання ланцюга зараження. Цей ланцюжок зрештою призводить до розгортання завантажувача IDAT, який використовує вбудований стеганографічний PNG для пошуку та вилучення Remcos RAT.
Remcos RAT часто використовується в кампаніях кіберзлочинців
REMCOS RAT є поширеним трояном віддаленого доступу, який широко використовується як для кіберзлочинців, так і для шпигунства. Відомий своєю здатністю захоплювати контроль над комп’ютерами, REMCOS може збирати натискання клавіш, аудіо, відео, скріншоти та системні дані, а також полегшує доставку додаткових шкідливих програм. Як правило, це зловмисне програмне забезпечення поширюється через фішингові електронні листи, які містять шкідливі вкладення або посилання, що призводить до встановлення RAT. Примітно, що REMCOS поширюється різними способами, включаючи завантажувачі шкідливих програм. Зловмисне програмне забезпечення використовувалося з середини 2010-х років.
Після успішного виконання REMCOS суб’єкти загрози отримують комплексні можливості контролю та спостереження за цільовою системою. Це дозволяє їм таємно вилучати конфіденційні дані протягом тривалого періоду, потенційно уникаючи виявлення. Використання такої конфіденційної інформації, залежно від мети, несе в собі ризик шантажу жертв, потенційну втрату роботи, якщо дані компанії скомпрометовані, і крадіжку організаційних даних. Потім ці вкрадені дані можуть бути використані для організації великомасштабних, складних атак, що призведе до серйозної та, можливо, непоправної шкоди постраждалим організаціям або засобам існування окремих осіб.
Україна залишається об’єктом атак кіберзлочинців з боку хакерських груп, пов’язаних із Росією
CERT-UA також попереджає про цілеспрямовану кібератаку, спрямовану на зараження бекдором Cookbox на комп’ютерні системи Збройних Сил України.
За даними CERT-UA, невідома особа розповсюдила XLS-документ «1_ф_5.39-2024.xlsm» через месенджер Signal серед кількох військовослужбовців, заявивши, що має проблеми з формуванням звіту. Зазначений файл містив додатковий сценарій VBA, який ініціював завантаження та виконання сценарію PowerShell під назвою «mob2002.data».
Сценарій PowerShell, завантажений з GitHub, вносить деякі зміни в реєстр ОС. Зокрема, він скидає корисне навантаження, закодоване base64, у «HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache», яке зрештою запускає зловмисне програмне забезпечення Cookbox. Cookbox — це сценарій PowerShell, який реалізує функції для завантаження та виконання командлетів PowerShell.
Динамічні служби DNS (такі як gotdns.ch, myftp.biz) і Cloudflare Workers використовуються для роботи командних і контрольних серверів. Згідно з даними дослідників, описана діяльність, яка відстежується як UAC-0149, триває щонайменше з осені 2023 року.
