Trình tải IDAT
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công, được xác định là mối đe dọa đối với một Trojan Ukraine có tên Remcos RAT, được hỗ trợ bởi trình tải phần mềm độc hại có tên IDAT Loader. Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA), theo dõi tác nhân đe dọa là UAC-0184 (TA544), đã quy trách nhiệm cho cuộc tấn công.
Cuộc tấn công được thực hiện thông qua việc sử dụng IDAT Loader, kết hợp kỹ thuật giấu tin. Mặc dù kỹ thuật steganographic, hay 'Stego', được công nhận rộng rãi. Kỹ thuật Steganographic liên quan đến việc che giấu thông tin trong một phương tiện khác, chẳng hạn như ẩn dữ liệu trong hình ảnh, tệp âm thanh hoặc nội dung kỹ thuật số khác, để cho phép liên lạc bí mật mà không thu hút sự chú ý. Điều quan trọng là phải hiểu vai trò của họ trong việc trốn tránh các biện pháp phòng thủ.
Mục lục
Trình tải IDAT tạo điều kiện thuận lợi cho việc phân phối tải trọng phần mềm độc hại giai đoạn tiếp theo
Trình tải IDAT, có những điểm tương đồng với một họ trình tải khác có tên Hijack Loader, đã tích cực triển khai nhiều tải trọng khác nhau, bao gồm DanaBot , SystemBC và RedLine Stealer trong vài tháng. Trình tải này đã được một kẻ đe dọa được xác định là TA544 sử dụng để phổ biến Remcos RAT và SystemBC thông qua các cuộc tấn công lừa đảo.
Chiến dịch lừa đảo, được CERT-UA tiết lộ lần đầu vào đầu tháng 1 năm 2024, liên quan đến việc sử dụng mồi nhử có chủ đề chiến tranh để bắt đầu một chuỗi lây nhiễm. Chuỗi này cuối cùng dẫn đến việc triển khai Trình tải IDAT, sử dụng PNG steganographic được nhúng để định vị và trích xuất Remcos RAT.
RAT Remcos thường được triển khai trong các chiến dịch tội phạm mạng
REMCOS RAT là một Trojan truy cập từ xa phổ biến được sử dụng rộng rãi trong cả hoạt động tội phạm mạng và gián điệp. Nổi tiếng với khả năng giành quyền kiểm soát máy tính, REMCOS có thể thu thập các lần gõ phím, âm thanh, video, ảnh chụp màn hình và dữ liệu hệ thống, đồng thời tạo điều kiện thuận lợi cho việc phân phối các phần mềm độc hại bổ sung. Thông thường, phần mềm độc hại này được phát tán thông qua các email lừa đảo có chứa các tệp đính kèm hoặc liên kết độc hại, dẫn đến việc cài đặt RAT. Đáng chú ý, REMCOS đã được quan sát thấy được phân phối thông qua nhiều phương tiện khác nhau, bao gồm cả trình tải phần mềm độc hại. Phần mềm độc hại đã được sử dụng với mục đích xấu từ giữa những năm 2010.
Sau khi thực thi thành công REMCOS, kẻ đe dọa sẽ có được khả năng kiểm soát và giám sát toàn diện trên hệ thống mục tiêu. Điều này cho phép họ bí mật lọc dữ liệu nhạy cảm trong một thời gian dài, có khả năng tránh bị phát hiện. Việc sử dụng những thông tin nhạy cảm như vậy, tùy thuộc vào mục tiêu, có nguy cơ nạn nhân phải đối mặt với sự tống tiền, mất việc làm nếu dữ liệu của công ty bị xâm phạm và bị đánh cắp dữ liệu của tổ chức. Dữ liệu bị đánh cắp này sau đó có thể được khai thác để dàn dựng các cuộc tấn công tinh vi, quy mô lớn, dẫn đến tổn hại nghiêm trọng và có thể không thể khắc phục được đối với sinh kế của các tổ chức hoặc cá nhân bị ảnh hưởng.
Ukraine vẫn là mục tiêu tấn công tội phạm mạng của các nhóm tin tặc liên kết với Nga
CERT-UA cũng đã cảnh báo về một cuộc tấn công mạng có chủ đích nhằm lây nhiễm các hệ thống máy tính được Lực lượng Vũ trang Ukraine sử dụng bằng cửa sau Cookbox.
Theo CERT-UA, một cá nhân không xác định đã phân phát tài liệu XLS có tên '1_ф_5.39-2024.xlsm' thông qua Signal Messenger cho một số quân nhân, tuyên bố rằng có vấn đề với việc lập báo cáo. Tệp nói trên chứa tập lệnh VBA bổ sung đã kích hoạt quá trình tải xuống và thực thi tập lệnh PowerShell có tên 'mob2002.data.'
Tập lệnh PowerShell được tải xuống từ GitHub thực hiện một số thay đổi trong sổ đăng ký hệ điều hành. Cụ thể hơn, nó thả một tải trọng được mã hóa base64 vào 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', cuối cùng thực thi phần mềm độc hại Cookbox. Cookbox là tập lệnh PowerShell triển khai chức năng tải xuống và thực thi các lệnh ghép ngắn PowerShell.
Các dịch vụ DNS động (chẳng hạn như gotdns.ch, myftp.biz) và Cloudflare Workers được sử dụng để vận hành các máy chủ ra lệnh và điều khiển. Theo dữ liệu được các nhà nghiên cứu tiết lộ, hoạt động được mô tả, được theo dõi với số hiệu UAC-0149, đã diễn ra ít nhất là từ mùa thu năm 2023.
