Ohurühm, kes kasutab uues RemcosRAT-i kampaanias haruldast andmeedastustaktikat

Ohustaja, kes on tuntud selle poolest, et sihib korduvalt organisatsioone Ukrainas RemcosRAT-i kaugjälgimise ja -juhtimise tööriistaga, on taas selle juures, seekord uue taktikaga andmete edastamiseks ilma lõpp-punkti tuvastamise ja reageerimise süsteeme käivitamata.

Vastane, mida jälgitakse kui UNC-0050, keskendub oma viimases kampaanias Ukraina valitsusüksustele. Seda märganud Uptycsi teadlased ütlesid, et rünnakud võivad olla poliitiliselt motiveeritud, eesmärgiga koguda Ukraina valitsusasutustelt konkreetset luureandmeid. "Kuigi riigi sponsorluse võimalus on endiselt spekulatiivne, kujutab grupi tegevus vaieldamatut ohtu, eriti Windowsi süsteemidest sõltuvatele valitsussektoritele," ütles Uptycsi teadlased Karthickkumar Kathiresan ja Shilpesh Trivedi. kirjutas selle nädala raportis.

RemcosRAT-i oht

Ohunäitlejad on kasutanud RemcosRAT — mis sai alguse legitiimse kaughaldustööriistana — ohustatud süsteemide kontrollimiseks vähemalt aastast 2016. Muuhulgas võimaldab tööriist ründajatel koguda ja välja filtreerida süsteemi-, kasutaja- ja protsessoriteavet. See võib ümbersõidutee palju viirusetõrje- ja lõpp-punktiohu tuvastamise tööriistu ning käivitada mitmesuguseid tagaukse käske. Paljudel juhtudel on ohus osalejad levitanud pahavara andmepüügimeilide manustes.

Uptycs ei ole veel suutnud viimase kampaania algset ründevektorit kindlaks teha, kuid ütles, et see kaldub tööteemalistele andmepüügile ja rämpspostile, kuna see on tõenäoliselt pahavara levitamise meetod. Turvamüüja tugines oma hinnangutes läbi vaadatud e-kirjadele, mille eesmärk oli pakkuda Ukraina sõjaväelastele Iisraeli kaitsejõududes nõustamisülesandeid.

Nakkusahel ise algab .lnk-failiga, mis kogub teavet ohustatud süsteemi kohta ja hangib seejärel ründaja juhitavast kaugserverist HTML-i rakenduse nimega 6.hta, kasutades Windowsi natiivset binaari, ütles Uptycs. Allalaaditud rakendus sisaldab PowerShelli skripti, mis käivitab samme kahe teise kasuliku faili (word_update.exe ja ofer.docx) allalaadimiseks ründaja juhitud domeenist ja lõpuks RemcosRAT-i installimiseks süsteemi.

Mõnevõrra haruldane taktika

UNC-0050 uue kampaania teeb teistsuguseks see, et ohus osalejad kasutavad a Windowsi protsessidevaheline suhtlus funktsioon, mida nimetatakse anonüümseteks torudeks, et edastada andmeid ohustatud süsteemide kohta. Nagu Microsoft kirjeldab, on anonüümne toru ühesuunaline sidekanal andmete edastamiseks vanema ja alamprotsessi vahel. Kathiresan ja Trivedi ütlesid, et UNC-0050 kasutab seda funktsiooni ära andmete varjamiseks kanaliseerimiseks ilma EDR-i või viirusetõrjehoiatusteta.

UNC-0050 ei ole esimene ohustaja, kes kasutab torusid varastatud andmete väljafiltreerimiseks, kuid see taktika on suhteliselt haruldane, märkisid Uptycsi teadlased. "Kuigi see tehnika pole täiesti uus, tähistab see märkimisväärset hüpet grupi strateegiate keerukuses," ütlesid nad.

See pole kaugeltki esimene kord, kui turvateadlased on märganud UAC-0050, mis üritab levitada RemcosRATi Ukraina sihtmärkidele. Eelmisel aastal hoiatas Ukraina arvutihädaabirühm (CERT-UA) mitmel korral ohus osaleja kampaaniate eest, mille eesmärk oli levitada riigi organisatsioonidele kaugjuurdepääsu Trooja.

Viimane oli an nõuandev 21. detsember 2023, mis käsitleb massilist andmepüügikampaaniat, mis hõlmab e-kirju koos manusega, mis väidetavalt oli leping Ukraina ühe suurima telekommunikatsiooniteenuse pakkuja Kyivstariga. Varem detsembris hoiatas CERT-UA teise eest RemcosRAT massijaotus kampaania, see hõlmab e-kirju, mis väidetavalt räägivad "kohtunõuetest" ja "võlgadest", mis on suunatud organisatsioonidele ja üksikisikutele Ukrainas ja Poolas. Meilid sisaldasid manust arhiivifaili või RAR-failina.

CERT-UA väljastas eelmisel aastal sarnaseid hoiatusi veel kolmel korral, ühel novembris kohtukutseteemaliste e-kirjadega, mis olid esialgseks kohaletoimetamisvahendiks; teine, samuti novembris, e-kirjadega väidetavalt Ukraina julgeolekuteenistuselt; ja esimene 2023. aasta veebruaris massilise meilikampaania kohta koos manustega, mis näisid olevat seotud Kiievi ringkonnakohtuga.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign