Ομάδα απειλών που χρησιμοποιεί τακτική μεταφοράς σπάνιων δεδομένων στη νέα καμπάνια RemcosRAT

Ένας παράγοντας απειλών γνωστός για την επανειλημμένη στόχευση οργανισμών στην Ουκρανία με το εργαλείο απομακρυσμένης επιτήρησης και ελέγχου RemcosRAT επιστρέφει ξανά σε αυτό, αυτή τη φορά με μια νέα τακτική για τη μεταφορά δεδομένων χωρίς την ενεργοποίηση συστημάτων ανίχνευσης και απόκρισης τελικού σημείου.

Ο αντίπαλος, που παρακολουθείται ως UNC-0050, επικεντρώνεται σε κυβερνητικές οντότητες της Ουκρανίας στην τελευταία του εκστρατεία. Ερευνητές στο Uptycs που το εντόπισαν είπαν ότι οι επιθέσεις μπορεί να έχουν πολιτικά κίνητρα, με στόχο τη συλλογή συγκεκριμένων πληροφοριών από τις ουκρανικές κυβερνητικές υπηρεσίες. «Ενώ η πιθανότητα κρατικής χορηγίας παραμένει κερδοσκοπική, οι δραστηριότητες του ομίλου αποτελούν αναμφισβήτητο κίνδυνο, ειδικά για κυβερνητικούς τομείς που εξαρτώνται από συστήματα Windows», οι ερευνητές της Uptycs Karthickkumar Kathiresan και Shilpesh Trivedi. έγραψε σε μια έκθεση αυτή την εβδομάδα.

Η απειλή RemcosRAT

Οι ηθοποιοί απειλών έχουν χρησιμοποιήσει RemcosRAT — το οποίο ξεκίνησε τη ζωή του ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης — για τον έλεγχο των παραβιασμένων συστημάτων από τουλάχιστον το 2016. Μεταξύ άλλων, το εργαλείο επιτρέπει στους εισβολείς να συλλέγουν και να διεισδύουν πληροφορίες συστήματος, χρήστη και επεξεργαστή. Μπορεί παρακάμψει πολλά εργαλεία εντοπισμού απειλών προστασίας από ιούς και τερματικού σημείου και εκτελούν μια ποικιλία από εντολές backdoor. Σε πολλές περιπτώσεις, οι φορείς απειλών έχουν διανείμει το κακόβουλο λογισμικό σε συνημμένα σε μηνύματα ηλεκτρονικού ψαρέματος.

Η Uptycs δεν μπόρεσε ακόμη να προσδιορίσει τον αρχικό φορέα επίθεσης στην πιο πρόσφατη καμπάνια, αλλά είπε ότι κλίνει προς το ηλεκτρονικό "ψάρεμα" και τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα την εργασία, καθώς πιθανότατα είναι η μέθοδος διανομής κακόβουλου λογισμικού. Ο προμηθευτής ασφάλειας βάσισε τις εκτιμήσεις του σε μηνύματα ηλεκτρονικού ταχυδρομείου που εξέτασε και τα οποία υποτίθεται ότι προσφέρουν στοχευμένο ουκρανικό στρατιωτικό προσωπικό με συμβουλευτικούς ρόλους στις Αμυντικές Δυνάμεις του Ισραήλ.

Η ίδια η αλυσίδα μόλυνσης ξεκινά με ένα αρχείο .lnk που συλλέγει πληροφορίες σχετικά με το παραβιασμένο σύστημα και στη συνέχεια ανακτά μια εφαρμογή HTML με το όνομα 6.hta από έναν απομακρυσμένο διακομιστή που ελέγχεται από εισβολείς χρησιμοποιώντας ένα εγγενές δυαδικό αρχείο των Windows, είπε η Uptycs. Η ανακτημένη εφαρμογή περιέχει μια δέσμη ενεργειών PowerShell που εκκινεί βήματα για τη λήψη δύο άλλων αρχείων ωφέλιμου φορτίου (word_update.exe και ofer.docx) από έναν τομέα που ελέγχεται από εισβολείς και — τελικά — για την εγκατάσταση του RemcosRAT στο σύστημα.

Μια κάπως σπάνια τακτική

Αυτό που κάνει τη νέα καμπάνια του UNC-0050 διαφορετική είναι η χρήση του α Επικοινωνίες διαδικασιών των Windows χαρακτηριστικό που ονομάζεται ανώνυμοι σωλήνες για τη μεταφορά δεδομένων σε παραβιασμένα συστήματα. Όπως περιγράφει η Microsoft, ένας ανώνυμος σωλήνας είναι ένα μονόδρομο κανάλι επικοινωνίας για τη μεταφορά δεδομένων μεταξύ μιας γονικής και μιας θυγατρικής διαδικασίας. Το UNC-0050 εκμεταλλεύεται τη δυνατότητα για να διοχετεύει κρυφά δεδομένα χωρίς να ενεργοποιεί ειδοποιήσεις EDR ή προστασίας από ιούς, ανέφεραν οι Kathiresan και Trivedi.

Το UNC-0050 δεν είναι ο πρώτος παράγοντας απειλής που χρησιμοποιεί σωλήνες για την εξαγωγή κλεμμένων δεδομένων, αλλά η τακτική παραμένει σχετικά σπάνια, σημείωσαν οι ερευνητές της Uptycs. «Αν και δεν είναι εντελώς νέα, αυτή η τεχνική σηματοδοτεί ένα σημαντικό άλμα στην πολυπλοκότητα των στρατηγικών του ομίλου», είπαν.

Αυτή είναι μακριά από την πρώτη φορά που ερευνητές ασφαλείας εντόπισαν το UAC-0050 να προσπαθεί να διανείμει το RemcosRAT σε στόχους στην Ουκρανία. Σε πολλές περιπτώσεις πέρυσι, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) προειδοποίησε για εκστρατείες από τον παράγοντα απειλών για τη διανομή του Trojan απομακρυσμένης πρόσβασης σε οργανισμούς στη χώρα.

Το πιο πρόσφατο ήταν ένα συμβουλευτική στις 21 Δεκεμβρίου 2023, σχετικά με μια μαζική εκστρατεία ηλεκτρονικού "ψαρέματος" που περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο που υποτίθεται ότι ήταν μια σύμβαση με την Kyivstar, έναν από τους μεγαλύτερους παρόχους τηλεπικοινωνιών της Ουκρανίας. Νωρίτερα τον Δεκέμβριο, η CERT-UA προειδοποίησε για ένα άλλο Κατανομή μάζας RemcosRAT εκστρατεία, αυτή που περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι αφορούν «δικαστικές αξιώσεις» και «χρέη» που στοχεύουν οργανισμούς και άτομα στην Ουκρανία και την Πολωνία. Τα email περιείχαν ένα συνημμένο με τη μορφή αρχείου αρχειοθέτησης ή αρχείου RAR.

Το CERT-UA εξέδωσε παρόμοιες ειδοποιήσεις σε άλλες τρεις περιπτώσεις πέρυσι, μία τον Νοέμβριο με μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα κλητεύσεις του δικαστηρίου που χρησιμεύουν ως το αρχικό όχημα παράδοσης. ένα άλλο, επίσης τον Νοέμβριο, με email που φέρεται να προέρχονται από την υπηρεσία ασφαλείας της Ουκρανίας. και η πρώτη τον Φεβρουάριο του 2023 σχετικά με μια μαζική εκστρατεία ηλεκτρονικού ταχυδρομείου με συνημμένα που φαινόταν να σχετίζονται με ένα περιφερειακό δικαστήριο στο Κίεβο.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign