IDAT載入器

網路安全研究人員發現了一種攻擊活動，該活動被確定為對名為 Remcos RAT 的烏克蘭木馬的威脅，由名為 IDAT Loader 的惡意軟體載入程式推動。烏克蘭電腦緊急應變小組 (CERT-UA) 追蹤到威脅行為者為 UAC-0184 (TA544)，並確定了攻擊的原因。

該攻擊透過使用 IDAT Loader 執行，並結合了隱寫術作為一種技術。儘管隱寫術或“Stego”技術已被廣泛認可。隱寫技術涉及將資訊隱藏在另一個媒體中，例如將資料隱藏在影像、音訊檔案或其他數位內容中，以實現秘密通訊而不引起注意。理解它們在逃避防禦措施中的作用至關重要。

IDAT 載入程式有助於下一階段惡意軟體有效負載的交付

IDAT Loader 與另一個名為 Hijack Loader 的加載器系列有相似之處，幾個月來一直在積極部署各種有效負載，包括DanaBot 、 SystemBC和RedLine Stealer 。該載入程式已被識別為 TA544 的威脅參與者利用，透過網路釣魚攻擊傳播Remcos RAT和 SystemBC。

這項網路釣魚活動最初由 CERT-UA 於 2024 年 1 月初披露，涉及使用戰爭主題的誘餌來啟動感染鏈。該鏈最終導致 IDAT Loader 的部署，它利用嵌入式隱寫 PNG 來定位和提取 Remcos RAT。

Remcos RAT 經常部署在網路犯罪活動中

REMCOS RAT 是一種流行的遠端存取木馬，廣泛用於網路犯罪和間諜活動。 REMCOS 以其奪取電腦控制權的能力而聞名，它可以收集擊鍵、音訊、視訊、螢幕截圖和系統數據，同時還可以促進其他惡意軟體有效負載的傳遞。通常，這種惡意軟體透過包含惡意附件或連結的網路釣魚電子郵件進行傳播，從而導致 RAT 的安裝。值得注意的是，據觀察，REMCOS 透過各種方式進行分發，包括惡意軟體載入程式。該惡意軟體自 2010 年代中期以來一直被惡意利用。

在成功執行 REMCOS 後，威脅行為者獲得了對目標系統的全面控制和監視能力。這使他們能夠在較長時間內秘密洩露敏感數據，從而有可能避免被發現。根據目標的不同，此類敏感資訊的利用可能會帶來受害者面臨勒索、公司資料外洩可能導致失業以及組織資料被盜的風險。這些被盜的資料可能會被用來策劃大規模、複雜的攻擊，對受影響的組織或個人的生計造成嚴重且可能無法彌補的損害。

烏克蘭仍然是與俄羅斯結盟的駭客組織網路犯罪攻擊的目標

CERT-UA 還警告稱，有針對性的網路攻擊旨在透過 Cookbox 後門感染烏克蘭武裝部隊使用的電腦系統。

據 CERT-UA 稱，一名身份不明的人透過信號信使向幾名軍事人員分發了一份名為「1_ф_5.39-2024.xlsm」的 XLS 文檔，聲稱在報告形成方面存在問題。該檔案包含一個額外的 VBA 腳本，該腳本觸發了名為「mob2002.data」的 PowerShell 腳本的下載和執行。

從 GitHub 下載的 PowerShell 腳本對作業系統登錄檔進行了一些更改。更具體地說，它會在「HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache」中放置一個 Base64 編碼的有效負載，最終執行 Cookbox 惡意軟體。 Cookbox 是一個 PowerShell 腳本，它實作下載和執行 PowerShell cmdlet 的功能。

動態 DNS 服務（例如 gotdns.ch、myftp.biz）和 Cloudflare Workers 用於命令和控制伺服器的操作。根據研究人員透露的數據，所描述的活動（編號為 UAC-0149）至少自 2023 年秋季以來一直持續。