Ένας παράγοντας απειλών γνωστός για την επανειλημμένη στόχευση οργανισμών στην Ουκρανία με το εργαλείο απομακρυσμένης επιτήρησης και ελέγχου RemcosRAT επιστρέφει ξανά σε αυτό, αυτή τη φορά με μια νέα τακτική για τη μεταφορά δεδομένων χωρίς την ενεργοποίηση συστημάτων ανίχνευσης και απόκρισης τελικού σημείου.
Ο αντίπαλος, που παρακολουθείται ως UNC-0050, επικεντρώνεται σε κυβερνητικές οντότητες της Ουκρανίας στην τελευταία του εκστρατεία. Ερευνητές στο Uptycs που το εντόπισαν είπαν ότι οι επιθέσεις μπορεί να έχουν πολιτικά κίνητρα, με στόχο τη συλλογή συγκεκριμένων πληροφοριών από τις ουκρανικές κυβερνητικές υπηρεσίες. «Ενώ η πιθανότητα κρατικής χορηγίας παραμένει κερδοσκοπική, οι δραστηριότητες του ομίλου αποτελούν αναμφισβήτητο κίνδυνο, ειδικά για κυβερνητικούς τομείς που εξαρτώνται από συστήματα Windows», οι ερευνητές της Uptycs Karthickkumar Kathiresan και Shilpesh Trivedi. έγραψε σε μια έκθεση αυτή την εβδομάδα.
Η απειλή RemcosRAT
Οι ηθοποιοί απειλών έχουν χρησιμοποιήσει RemcosRAT — το οποίο ξεκίνησε τη ζωή του ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης — για τον έλεγχο των παραβιασμένων συστημάτων από τουλάχιστον το 2016. Μεταξύ άλλων, το εργαλείο επιτρέπει στους εισβολείς να συλλέγουν και να διεισδύουν πληροφορίες συστήματος, χρήστη και επεξεργαστή. Μπορεί παρακάμψει πολλά εργαλεία εντοπισμού απειλών προστασίας από ιούς και τερματικού σημείου και εκτελούν μια ποικιλία από εντολές backdoor. Σε πολλές περιπτώσεις, οι φορείς απειλών έχουν διανείμει το κακόβουλο λογισμικό σε συνημμένα σε μηνύματα ηλεκτρονικού ψαρέματος.
Η Uptycs δεν μπόρεσε ακόμη να προσδιορίσει τον αρχικό φορέα επίθεσης στην πιο πρόσφατη καμπάνια, αλλά είπε ότι κλίνει προς το ηλεκτρονικό "ψάρεμα" και τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα την εργασία, καθώς πιθανότατα είναι η μέθοδος διανομής κακόβουλου λογισμικού. Ο προμηθευτής ασφάλειας βάσισε τις εκτιμήσεις του σε μηνύματα ηλεκτρονικού ταχυδρομείου που εξέτασε και τα οποία υποτίθεται ότι προσφέρουν στοχευμένο ουκρανικό στρατιωτικό προσωπικό με συμβουλευτικούς ρόλους στις Αμυντικές Δυνάμεις του Ισραήλ.
Η ίδια η αλυσίδα μόλυνσης ξεκινά με ένα αρχείο .lnk που συλλέγει πληροφορίες σχετικά με το παραβιασμένο σύστημα και στη συνέχεια ανακτά μια εφαρμογή HTML με το όνομα 6.hta από έναν απομακρυσμένο διακομιστή που ελέγχεται από εισβολείς χρησιμοποιώντας ένα εγγενές δυαδικό αρχείο των Windows, είπε η Uptycs. Η ανακτημένη εφαρμογή περιέχει μια δέσμη ενεργειών PowerShell που εκκινεί βήματα για τη λήψη δύο άλλων αρχείων ωφέλιμου φορτίου (word_update.exe και ofer.docx) από έναν τομέα που ελέγχεται από εισβολείς και — τελικά — για την εγκατάσταση του RemcosRAT στο σύστημα.
Μια κάπως σπάνια τακτική
Αυτό που κάνει τη νέα καμπάνια του UNC-0050 διαφορετική είναι η χρήση του α Επικοινωνίες διαδικασιών των Windows χαρακτηριστικό που ονομάζεται ανώνυμοι σωλήνες για τη μεταφορά δεδομένων σε παραβιασμένα συστήματα. Όπως περιγράφει η Microsoft, ένας ανώνυμος σωλήνας είναι ένα μονόδρομο κανάλι επικοινωνίας για τη μεταφορά δεδομένων μεταξύ μιας γονικής και μιας θυγατρικής διαδικασίας. Το UNC-0050 εκμεταλλεύεται τη δυνατότητα για να διοχετεύει κρυφά δεδομένα χωρίς να ενεργοποιεί ειδοποιήσεις EDR ή προστασίας από ιούς, ανέφεραν οι Kathiresan και Trivedi.
Το UNC-0050 δεν είναι ο πρώτος παράγοντας απειλής που χρησιμοποιεί σωλήνες για την εξαγωγή κλεμμένων δεδομένων, αλλά η τακτική παραμένει σχετικά σπάνια, σημείωσαν οι ερευνητές της Uptycs. «Αν και δεν είναι εντελώς νέα, αυτή η τεχνική σηματοδοτεί ένα σημαντικό άλμα στην πολυπλοκότητα των στρατηγικών του ομίλου», είπαν.
Αυτή είναι μακριά από την πρώτη φορά που ερευνητές ασφαλείας εντόπισαν το UAC-0050 να προσπαθεί να διανείμει το RemcosRAT σε στόχους στην Ουκρανία. Σε πολλές περιπτώσεις πέρυσι, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) προειδοποίησε για εκστρατείες από τον παράγοντα απειλών για τη διανομή του Trojan απομακρυσμένης πρόσβασης σε οργανισμούς στη χώρα.
Το πιο πρόσφατο ήταν ένα συμβουλευτική στις 21 Δεκεμβρίου 2023, σχετικά με μια μαζική εκστρατεία ηλεκτρονικού "ψαρέματος" που περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο που υποτίθεται ότι ήταν μια σύμβαση με την Kyivstar, έναν από τους μεγαλύτερους παρόχους τηλεπικοινωνιών της Ουκρανίας. Νωρίτερα τον Δεκέμβριο, η CERT-UA προειδοποίησε για ένα άλλο Κατανομή μάζας RemcosRAT εκστρατεία, αυτή που περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι αφορούν «δικαστικές αξιώσεις» και «χρέη» που στοχεύουν οργανισμούς και άτομα στην Ουκρανία και την Πολωνία. Τα email περιείχαν ένα συνημμένο με τη μορφή αρχείου αρχειοθέτησης ή αρχείου RAR.
Το CERT-UA εξέδωσε παρόμοιες ειδοποιήσεις σε άλλες τρεις περιπτώσεις πέρυσι, μία τον Νοέμβριο με μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα κλητεύσεις του δικαστηρίου που χρησιμεύουν ως το αρχικό όχημα παράδοσης. ένα άλλο, επίσης τον Νοέμβριο, με email που φέρεται να προέρχονται από την υπηρεσία ασφαλείας της Ουκρανίας. και η πρώτη τον Φεβρουάριο του 2023 σχετικά με μια μαζική εκστρατεία ηλεκτρονικού ταχυδρομείου με συνημμένα που φαινόταν να σχετίζονται με ένα περιφερειακό δικαστήριο στο Κίεβο.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :έχει
- :είναι
- :δεν
- 2016
- 2023
- 7
- a
- Ικανός
- Σχετικα
- πρόσβαση
- δραστηριοτήτων
- φορείς
- διαχείριση
- Πλεονέκτημα
- πάλι
- υπηρεσίες
- Ειδοποιήσεις
- φέρεται ότι
- επιτρέπει
- Επίσης
- Αν και
- μεταξύ των
- an
- και
- ανώνυμος
- Άλλος
- προστασίας από ιούς
- κάθε
- app
- Εμφανίστηκε
- Αρχείο
- AS
- αξιολογήσεις
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- προσπάθεια
- πίσω
- κερκόπορτα
- βασίζονται
- BE
- ήταν
- είναι
- μεταξύ
- αλλά
- by
- που ονομάζεται
- Εκστρατεία
- Καμπάνιες
- CAN
- αλυσίδα
- Κανάλι
- παιδί
- αξιώσεις
- Συλλέγοντας
- Διαβιβάσεις
- Συμβιβασμένος
- υπολογιστή
- συμβουλών
- που περιέχονται
- Περιέχει
- σύμβαση
- έλεγχος
- χώρα
- Δικαστήριο
- ημερομηνία
- Δεκέμβριος
- Δεκέμβριος
- Άμυνα
- διανομή
- περιγράφει
- Ανίχνευση
- Προσδιορίστε
- διαφορετικές
- διανέμω
- διανέμονται
- διανομή
- περιοχή
- περιφερειακό δικαστήριο
- τομέα
- κατεβάσετε
- Νωρίτερα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- επείγον
- Τελικό σημείο
- εξ ολοκλήρου
- οντότητες
- ειδικά
- εκτελέσει
- μακριά
- Χαρακτηριστικό
- Φεβρουάριος
- Αρχεία
- Αρχεία
- Όνομα
- πρώτη φορά
- επικεντρώθηκε
- Για
- Δυνάμεις
- μορφή
- από
- συγκεντρώνουν
- γκολ
- Κυβέρνηση
- κυβερνητικούς οργανισμούς
- Κυβερνητικοί φορείς
- Group
- Έχω
- HTML
- HTTPS
- in
- άτομα
- πληροφορίες
- αρχικός
- Αρχίζει
- εγκαθιστώ
- Νοημοσύνη
- συμμετοχή
- Ισραήλ
- Εκδόθηκε
- IT
- ΤΟΥ
- εαυτό
- jpg
- δικαστήριο
- μόλις
- γνωστός
- μεγαλύτερη
- Επίθετο
- Πέρυσι
- αργότερο
- Πήδημα
- ελάχιστα
- νόμιμος
- ζωή
- Πιθανός
- ΚΑΝΕΙ
- malware
- πολοί
- Μάζα
- Ενδέχεται..
- μέθοδος
- Microsoft
- Στρατιωτικός
- πλέον
- κίνητρα
- πολλαπλούς
- Ονομάστηκε
- ντόπιος
- Νέα
- Σημειώνεται
- Νοέμβριος
- περιπτώσεις
- of
- προσφορά
- on
- ONE
- or
- οργανώσεις
- ΑΛΛΑ
- Προσωπικό
- Phishing
- phishing καμπάνια
- σωλήνας
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Poland
- πολιτικά
- ενέχουν
- δυνατότητα
- PowerShell
- διαδικασια μας
- Επεξεργαστής
- Παρόχους υπηρεσιών
- ΣΠΑΝΙΟΣ
- πρόσφατος
- σχετικά
- λείψανα
- μακρινός
- απομακρυσμένη πρόσβαση
- ΚΑΤ 'ΕΠΑΝΑΛΗΨΗ
- αναφέρουν
- ερευνητές
- απάντησης
- αξιολόγηση
- Κίνδυνος
- ρόλους
- s
- Είπε
- γραφή
- Τομείς
- ασφάλεια
- διακομιστής
- υπηρεσία
- εξυπηρετούν
- σημαντικός
- παρόμοιες
- αφού
- κάπως
- επιτήδευση
- το spam
- συγκεκριμένες
- κερδοσκοπικός
- αιγίδα
- ξεκίνησε
- Κατάσταση
- Βήματα
- κλαπεί
- στρατηγικές
- επιτήρηση
- σύστημα
- συστήματα
- λήψη
- στοχευμένες
- στόχευση
- στόχους
- τεχνική
- τηλεπικοινωνιών
- ότι
- Η
- τότε
- αυτοί
- πράγματα
- αυτό
- απειλή
- απειλή
- τρία
- ώρα
- προς την
- εργαλείο
- εργαλεία
- προς
- μεταφορά
- Μεταφορά
- ενεργοποίηση
- Trojan
- δύο
- Ukraine
- Ουκρανικά
- τελικά
- αδιάψευστος
- χρήση
- Χρήστες
- χρησιμοποιώντας
- ποικιλία
- όχημα
- πάροχος υπηρεσιών
- προειδοποίησε
- ήταν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- παράθυρα
- με
- χωρίς
- έτος
- ακόμη
- zephyrnet