IDAT加载器

网络安全研究人员发现了一种攻击活动，该活动被确定为对名为 Remcos RAT 的乌克兰木马的威胁，由名为 IDAT Loader 的恶意软件加载程序推动。乌克兰计算机紧急响应小组 (CERT-UA) 追踪到威胁行为者为 UAC-0184 (TA544)，并确定了此次攻击的原因。

该攻击通过使用 IDAT Loader 执行，并结合了隐写术作为一种技术。尽管隐写术或“Stego”技术已得到广泛认可。隐写技术涉及将信息隐藏在另一种介质中，例如将数据隐藏在图像、音频文件或其他数字内容中，以实现秘密通信而不引起注意。理解它们在逃避防御措施中的作用至关重要。

IDAT 加载程序有助于下一阶段恶意软件有效负载的交付

IDAT Loader 与另一个名为 Hijack Loader 的加载器系列有相似之处，几个月来一直在积极部署各种有效负载，包括DanaBot 、 SystemBC和RedLine Stealer 。该加载程序已被识别为 TA544 的威胁参与者利用，通过网络钓鱼攻击传播Remcos RAT和 SystemBC。

该网络钓鱼活动最初由 CERT-UA 于 2024 年 1 月上旬披露，涉及使用战争主题的诱饵来启动感染链。该链最终导致 IDAT Loader 的部署，它利用嵌入式隐写 PNG 来定位和提取 Remcos RAT。

Remcos RAT 经常部署在网络犯罪活动中

REMCOS RAT 是一种流行的远程访问木马，广泛用于网络犯罪和间谍活动。 REMCOS 以其夺取计算机控制权的能力而闻名，它可以收集击键、音频、视频、屏幕截图和系统数据，同时还可以促进其他恶意软件有效负载的传递。通常，这种恶意软件通过包含恶意附件或链接的网络钓鱼电子邮件进行传播，从而导致 RAT 的安装。值得注意的是，据观察，REMCOS 通过各种方式进行分发，包括恶意软件加载程序。该恶意软件自 2010 年代中期以来一直被恶意利用。

成功执行 REMCOS 后，威胁行为者获得了对目标系统的全面控制和监视能力。这使他们能够在较长时间内秘密泄露敏感数据，从而有可能避免被发现。根据目标的不同，此类敏感信息的利用可能会带来受害者面临勒索、公司数据泄露可能导致失业以及组织数据被盗的风险。这些被盗的数据可能会被用来策划大规模、复杂的攻击，从而对受影响的组织或个人的生计造成严重且可能无法弥补的损害。

乌克兰仍然是与俄罗斯结盟的黑客组织网络犯罪攻击的目标

CERT-UA 还警告称，有针对性的网络攻击旨在通过 Cookbox 后门感染乌克兰武装部队使用的计算机系统。

据 CERT-UA 称，一名身份不明的人通过信号信使向几名军事人员分发了一份名为“1_ф_5.39-2024.xlsm”的 XLS 文档，声称在报告形成方面存在问题。该文件包含一个额外的 VBA 脚本，该脚本触发了名为“mob2002.data”的 PowerShell 脚本的下载和执行。

从 GitHub 下载的 PowerShell 脚本对操作系统注册表进行了一些更改。更具体地说，它会在“HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache”中放置一个 Base64 编码的有效负载，最终执行 Cookbox 恶意软件。 Cookbox 是一个 PowerShell 脚本，它实现下载和执行 PowerShell cmdlet 的功能。

动态 DNS 服务（例如 gotdns.ch、myftp.biz）和 Cloudflare Workers 用于命令和控制服务器的操作。根据研究人员透露的数据，所描述的活动（编号为 UAC-0149）至少自 2023 年秋季以来一直在持续。