En trusselsaktør, der er kendt for gentagne gange at målrette organisationer i Ukraine med RemcosRAT-fjernovervågnings- og kontrolværktøjet, er tilbage igen, denne gang med en ny taktik til at overføre data uden at udløse slutpunktsdetektions- og responssystemer.
Modstanderen, sporet som UNC-0050, er fokuseret på ukrainske regeringsenheder i sin seneste kampagne. Forskere ved Uptycs, der så det, sagde, at angrebene kan være politisk motiverede med det formål at indsamle specifik efterretning fra ukrainske regeringsorganer. "Mens muligheden for statssponsorering forbliver spekulativ, udgør gruppens aktiviteter en ubestridelig risiko, især for offentlige sektorer, der er afhængige af Windows-systemer," Uptycs-forskere Karthickkumar Kathiresan og Shilpesh Trivedi skrev i en rapport i denne uge.
RemcosRAT-truslen
Trusselskuespillere har brugt RemcosRAT - som startede livet som et legitimt fjernadministrationsværktøj - til at kontrollere kompromitterede systemer siden mindst 2016. Blandt andet giver værktøjet angribere mulighed for at indsamle og udslette system-, bruger- og processorinformation. Det kan bypass mange antivirus- og endpoint-trusselsdetektionsværktøjer og udfører en række bagdørskommandoer. I mange tilfælde har trusselsaktører distribueret malwaren i vedhæftede filer i phishing-e-mails.
Uptycs har ikke været i stand til at bestemme den indledende angrebsvektor i den seneste kampagne endnu, men sagde, at det hælder mod job-tema phishing og spam-e-mails, da det højst sandsynligt er malware-distributionsmetoden. Sikkerhedsleverandøren baserede sine vurderinger på e-mails, som den gennemgik, og som foregav at tilbyde målrettet ukrainsk militærpersonel med konsulentroller ved Israels forsvarsstyrker.
Selve infektionskæden begynder med en .lnk-fil, der samler oplysninger om det kompromitterede system og derefter henter en HTML-app ved navn 6.hta fra en angriberstyret fjernserver ved hjælp af en Windows-native binær, sagde Uptycs. Den hentede app indeholder et PowerShell-script, der starter trin til at downloade to andre nyttelastfiler (word_update.exe og ofer.docx) fra et angriberkontrolleret domæne og - i sidste ende - til at installere RemcosRAT på systemet.
En noget sjælden taktik
Det, der gør UNC-0050s nye kampagne anderledes, er trusselsaktørens brug af en Windows interproces kommunikation funktion kaldet anonyme rør til at overføre data på kompromitterede systemer. Som Microsoft beskriver det, er en anonym pipe en envejskommunikationskanal til overførsel af data mellem en forælder og en underordnet proces. UNC-0050 udnytter funktionen til skjult kanalisering af data uden at udløse nogen EDR- eller antivirus-alarmer, sagde Kathiresan og Trivedi.
UNC-0050 er ikke den første trusselsaktør, der bruger rør til at eksfiltrere stjålne data, men taktikken forbliver relativt sjælden, bemærkede Uptycs-forskerne. "Selvom den ikke er helt ny, markerer denne teknik et betydeligt spring i sofistikeringen af gruppens strategier," sagde de.
Det er langt fra første gang, at sikkerhedsforskere har set UAC-0050 forsøge at distribuere RemcosRAT til mål i Ukraine. Ved flere lejligheder sidste år advarede Ukraines Computer Emergency Response Team (CERT-UA) om kampagner fra trusselsaktøren for at distribuere fjernadgang Trojan til organisationer i landet.
Den seneste var en rådgivning den 21. december 2023, om en masse phishing-kampagne, der involverer e-mails med en vedhæftet fil, der foregav at være en kontrakt, der involverer Kyivstar, en af Ukraines største telekommunikationsudbydere. Tidligere i december advarede CERT-UA om en anden RemcosRAT massedistribution kampagne, denne involverer e-mails, der foregiver at handle om "retlige krav" og "gæld" rettet mod organisationer og enkeltpersoner i Ukraine og Polen. E-mails indeholdt en vedhæftet fil i form af en arkivfil eller RAR-fil.
CERT-UA udsendte lignende advarsler ved tre andre lejligheder sidste år, en i november med e-mails med retsstævningstema, der fungerede som det første leveringsmiddel; en anden, også i november, med e-mails angiveligt fra Ukraines sikkerhedstjeneste; og den første i februar 2023 om en masse-e-mail-kampagne med vedhæftede filer, der så ud til at være forbundet med en distriktsdomstol i Kiev.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :har
- :er
- :ikke
- 2016
- 2023
- 7
- a
- I stand
- Om
- adgang
- aktiviteter
- aktører
- administration
- Fordel
- igen
- agenturer
- Advarsler
- angiveligt
- tillader
- også
- Skønt
- blandt
- an
- ,
- anonym
- En anden
- antivirus
- enhver
- app
- dukkede
- Arkiv
- AS
- vurderinger
- forbundet
- At
- angribe
- Angreb
- forsøger
- tilbage
- bagdør
- baseret
- BE
- været
- være
- mellem
- men
- by
- kaldet
- Kampagne
- Kampagner
- CAN
- kæde
- Kanal
- barn
- fordringer
- Indsamling
- Kommunikation
- Kompromitteret
- computer
- rådgivning
- indeholdt
- indeholder
- kontrakt
- kontrol
- land
- Ret
- data
- december
- december
- Forsvar
- levering
- beskriver
- Detektion
- Bestem
- forskellige
- distribuere
- distribueret
- fordeling
- distrikt
- byretten
- domæne
- downloade
- tidligere
- emails
- nødsituation
- Endpoint
- helt
- enheder
- især
- udføre
- langt
- Feature
- februar
- File (Felt)
- Filer
- Fornavn
- første gang
- fokuserede
- Til
- Forces
- formular
- fra
- samle
- mål
- Regering
- regeringsorganer
- Regeringsenheder
- gruppe
- Have
- HTML
- HTTPS
- in
- enkeltpersoner
- oplysninger
- initial
- Indleder
- installere
- Intelligens
- involverer
- israel
- Udstedt
- IT
- ITS
- selv
- jpg
- retslige
- lige
- kendt
- største
- Efternavn
- Sidste år
- seneste
- Leap
- mindst
- legitim
- Livet
- Sandsynlig
- maerker
- malware
- mange
- Masse
- Kan..
- metode
- microsoft
- Militær
- mest
- motiveret
- flere
- Som hedder
- indfødte
- Ny
- bemærkede
- november
- lejligheder
- of
- tilbyde
- on
- ONE
- or
- organisationer
- Andet
- Personale
- Phishing
- phishing-kampagne
- rør
- plato
- Platon Data Intelligence
- PlatoData
- Polen
- politisk
- udgør
- Muligheden
- PowerShell
- behandle
- Processor
- udbydere
- SJÆLDEN
- nylige
- relativt
- resterne
- fjern
- Remote Access
- GENTAGNE GANGE
- indberette
- forskere
- svar
- revideret
- Risiko
- roller
- s
- Said
- script
- Sektorer
- sikkerhed
- server
- tjeneste
- servering
- signifikant
- lignende
- siden
- noget
- raffinement
- spam
- specifikke
- spekulative
- sponsorering
- påbegyndt
- Tilstand
- Steps
- stjålet
- strategier
- overvågning
- systemet
- Systemer
- tager
- målrettet
- rettet mod
- mål
- hold
- teknik
- telekommunikation
- at
- derefter
- de
- ting
- denne
- trussel
- trusselsaktører
- tre
- tid
- til
- værktøj
- værktøjer
- mod
- overførsel
- Overførsel
- udløsning
- Trojan
- to
- Ukraine
- ukrainsk
- Ultimativt
- ubestridelig
- brug
- Bruger
- ved brug af
- række
- køretøj
- sælger
- advarede
- var
- som
- mens
- WHO
- vinduer
- med
- uden
- år
- endnu
- zephyrnet
