Bedrohungsgruppe nutzt seltene Datenübertragungstaktik in neuer RemcosRAT-Kampagne

Ein Bedrohungsakteur, der dafür bekannt ist, mit dem Fernüberwachungs- und Kontrolltool RemcosRAT wiederholt Organisationen in der Ukraine anzugreifen, ist erneut am Werk, dieses Mal mit einer neuen Taktik zur Datenübertragung, ohne Endpunkterkennungs- und Reaktionssysteme auszulösen.

Der als UNC-0050 verfolgte Gegner konzentriert sich in seiner neuesten Kampagne auf ukrainische Regierungsstellen. Forscher von Uptycs, die es entdeckten, sagten, dass die Angriffe möglicherweise politisch motiviert seien und das Ziel verfolgten, spezifische Informationen von ukrainischen Regierungsbehörden zu sammeln. „Während die Möglichkeit einer staatlichen Förderung spekulativ bleibt, stellen die Aktivitäten der Gruppe ein unbestreitbares Risiko dar, insbesondere für Regierungsbereiche, die auf Windows-Systeme angewiesen sind“, sagen die Uptycs-Forscher Karthickkumar Kathiresan und Shilpesh Trivedi schrieb diese Woche in einem Bericht.

Die RemcosRAT-Bedrohung

Bedrohungsakteure haben verwendet RemcosRAT – das als legitimes Fernverwaltungstool begann – seit mindestens 2016 zur Kontrolle kompromittierter Systeme. Unter anderem ermöglicht das Tool Angreifern das Sammeln und Herausfiltern von System-, Benutzer- und Prozessorinformationen. Es kann umgehen viele Antiviren- und Endpunkt-Bedrohungserkennungstools und führen eine Vielzahl von Backdoor-Befehlen aus. In vielen Fällen haben Bedrohungsakteure die Malware in Anhängen von Phishing-E-Mails verbreitet.

Uptycs war noch nicht in der Lage, den ersten Angriffsvektor in der neuesten Kampagne zu bestimmen, gab jedoch an, dass es sich bei der Malware-Verbreitung höchstwahrscheinlich um berufsbezogene Phishing- und Spam-E-Mails handelt. Der Sicherheitsanbieter stützte seine Einschätzungen auf von ihm überprüfte E-Mails, in denen angeblich gezielt ukrainischen Militärangehörigen Beraterpositionen bei den israelischen Streitkräften angeboten wurden.

Die Infektionskette selbst beginnt mit einer .lnk-Datei, die Informationen über das kompromittierte System sammelt und dann eine HTML-App namens 6.hta von einem vom Angreifer kontrollierten Remote-Server mithilfe einer nativen Windows-Binärdatei abruft, sagte Uptycs. Die abgerufene App enthält ein PowerShell-Skript, das Schritte zum Herunterladen von zwei weiteren Nutzlastdateien (word_update.exe und ofer.docx) von einer vom Angreifer kontrollierten Domäne und – letztendlich – zur Installation von RemcosRAT auf dem System einleitet.

Eine etwas seltene Taktik

Was die neue Kampagne von UNC-0050 anders macht, ist die Verwendung von a durch den Bedrohungsakteur Windows-Interprozesskommunikation Funktion namens anonyme Pipes zum Übertragen von Daten auf kompromittierten Systemen. Wie Microsoft es beschreibt, ist eine anonyme Pipe ein unidirektionaler Kommunikationskanal zum Übertragen von Daten zwischen einem übergeordneten und einem untergeordneten Prozess. UNC-0050 nutzt die Funktion, um Daten verdeckt zu kanalisieren, ohne EDR- oder Antiviren-Warnungen auszulösen, sagten Kathiresan und Trivedi.

UNC-0050 ist nicht der erste Bedrohungsakteur, der Pipes zur Exfiltrierung gestohlener Daten einsetzt, aber diese Taktik bleibt relativ selten, stellten die Uptycs-Forscher fest. „Obwohl diese Technik nicht völlig neu ist, stellt sie einen bedeutenden Fortschritt in der Verfeinerung der Strategien der Gruppe dar“, sagten sie.

Dies ist bei weitem nicht das erste Mal, dass Sicherheitsforscher UAC-0050 beim Versuch entdeckt haben, RemcosRAT an Ziele in der Ukraine zu verteilen. Das Computer Emergency Response Team (CERT-UA) der Ukraine warnte im vergangenen Jahr mehrfach vor Kampagnen des Bedrohungsakteurs, den Fernzugriffstrojaner an Organisationen im Land zu verteilen.

Das jüngste war ein Beratung am 21. Dezember 2023, über eine Massen-Phishing-Kampagne mit E-Mails mit einem Anhang, bei dem es sich angeblich um einen Vertrag mit Kyivstar handelte, einem der größten Telekommunikationsanbieter der Ukraine. Anfang Dezember warnte CERT-UA vor einem weiteren RemcosRAT-Massenverteilung Kampagne, bei der es sich um E-Mails handelte, in denen es angeblich um „gerichtliche Ansprüche“ und „Schulden“ ging, die sich an Organisationen und Einzelpersonen in der Ukraine und Polen richteten. Die E-Mails enthielten einen Anhang in Form einer Archivdatei bzw. RAR-Datei.

CERT-UA gab letztes Jahr bei drei anderen Gelegenheiten ähnliche Warnungen heraus, einmal im November, wobei E-Mails mit Gerichtsvorladungen als erstes Zustellmittel dienten; ein weiterer, ebenfalls im November, mit E-Mails, angeblich vom ukrainischen Sicherheitsdienst; und die erste im Februar 2023 über eine Massen-E-Mail-Kampagne mit Anhängen, die offenbar mit einem Bezirksgericht in Kiew in Zusammenhang standen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign