گروه تهدید با استفاده از تاکتیک نادر انتقال داده در کمپین جدید RemcosRAT

یک عامل تهدید که به دلیل هدف قرار دادن مکرر سازمان ها در اوکراین با ابزار نظارت و کنترل از راه دور RemcosRAT شناخته شده است، دوباره به آن بازگشته است، این بار با یک تاکتیک جدید برای انتقال داده ها بدون راه اندازی سیستم های تشخیص و پاسخ نقطه پایانی.

این دشمن که با نام UNC-0050 دنبال می‌شود، در آخرین کارزار خود بر نهادهای دولتی اوکراین متمرکز شده است. محققان Uptycs که آن را مشاهده کردند گفتند که این حملات ممکن است انگیزه سیاسی داشته باشد و هدف آن جمع آوری اطلاعات خاص از سازمان های دولتی اوکراین باشد. Karthickkumar Kathiresan و Shilpesh Trivedi، محققان Uptycs، "در حالی که احتمال حمایت دولتی همچنان حدس و گمان است، فعالیت های گروه خطر غیرقابل انکاری را به همراه دارد، به ویژه برای بخش های دولتی وابسته به سیستم های ویندوز". این هفته در گزارشی نوشت.

تهدید RemcosRAT

بازیگران تهدید استفاده کرده اند RemcosRAT - که زندگی خود را به عنوان یک ابزار قانونی مدیریت از راه دور آغاز کرد - برای کنترل سیستم های در معرض خطر حداقل از سال 2016. از جمله موارد دیگر، این ابزار به مهاجمان اجازه می دهد تا اطلاعات سیستم، کاربر و پردازنده را جمع آوری و استخراج کنند. می تواند گذرگاه بسیاری از آنتی ویروس ها و ابزارهای تشخیص تهدید نقطه پایانی و اجرای انواع دستورات در پشتی. در بسیاری از موارد عوامل تهدید، بدافزار را در پیوست‌های ایمیل‌های فیشینگ توزیع کرده‌اند.

Uptycs هنوز نتوانسته است بردار حمله اولیه را در آخرین کمپین تعیین کند، اما گفته است که به سمت ایمیل‌های فیشینگ و هرزنامه با موضوع شغل متمایل است زیرا به احتمال زیاد روش توزیع بدافزار است. این فروشنده امنیتی ارزیابی‌های خود را بر اساس ایمیل‌هایی است که بررسی کرده بود و ظاهراً به پرسنل نظامی اوکراینی هدفمند با نقش‌های مشاوره در نیروهای دفاعی اسرائیل پیشنهاد می‌دادند.

Uptycs گفت که زنجیره عفونت خود با یک فایل lnk شروع می شود که اطلاعات مربوط به سیستم در معرض خطر را جمع آوری می کند و سپس یک برنامه HTML به نام 6.hta را از یک سرور راه دور کنترل شده توسط مهاجم با استفاده از یک باینری بومی ویندوز بازیابی می کند. برنامه بازیابی شده حاوی یک اسکریپت PowerShell است که مراحل دانلود دو فایل payload دیگر (word_update.exe و ofer.docx) را از یک دامنه تحت کنترل مهاجم و - در نهایت - نصب RemcosRAT در سیستم را آغاز می کند.

تاکتیکی تا حدودی نادر

چیزی که کمپین جدید UNC-0050 را متفاوت می کند، استفاده عامل تهدید از a است ارتباطات بین فرآیندی ویندوز قابلیتی به نام لوله های ناشناس برای انتقال داده ها در سیستم های در معرض خطر. همانطور که مایکروسافت آن را توصیف می کند، یک لوله ناشناس یک کانال ارتباطی یک طرفه برای انتقال داده ها بین فرآیند والدین و فرزند است. Kathiresan و Trivedi گفتند که UNC-0050 از این ویژگی برای کانال‌گذاری مخفیانه داده‌ها بدون ایجاد هرگونه هشدار EDR یا آنتی ویروس استفاده می‌کند.

به گفته محققان Uptycs، UNC-0050 اولین عامل تهدید کننده ای نیست که از لوله ها برای استخراج داده های سرقت شده استفاده می کند، اما این تاکتیک نسبتاً نادر است. آنها گفتند: «اگرچه این تکنیک کاملاً جدید نیست، اما جهش قابل توجهی در پیچیدگی استراتژی های گروه نشان می دهد.

این دور از اولین باری است که محققان امنیتی UAC-0050 را در تلاش برای توزیع RemcosRAT در اهدافی در اوکراین مشاهده کردند. در سال گذشته در موارد متعدد، تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) نسبت به کمپین های عامل تهدید برای توزیع تروجان دسترسی از راه دور در سازمان ها در کشور هشدار داد.

جدیدترین مورد یک بود مشاوره در 21 دسامبر 2023در مورد یک کمپین فیشینگ انبوه شامل ایمیل‌هایی با پیوستی که ظاهراً قراردادی با Kyivstar، یکی از بزرگترین ارائه‌دهندگان مخابرات اوکراین است. در اوایل ماه دسامبر، CERT-UA در مورد دیگری هشدار داد توزیع جرم RemcosRAT کمپین، این یکی شامل ایمیل‌هایی است که ادعا می‌کنند درباره «ادعاهای قضایی» و «بدهی» سازمان‌ها و افراد در اوکراین و لهستان را هدف قرار می‌دهند. ایمیل ها حاوی پیوستی به شکل یک فایل آرشیو یا فایل RAR بودند.

CERT-UA هشدارهای مشابهی را در سه مورد دیگر در سال گذشته صادر کرد، یکی در نوامبر با ایمیل‌هایی با مضمون احضار دادگاه که به عنوان وسیله تحویل اولیه خدمت می‌کردند. دیگری، همچنین در ماه نوامبر، با ایمیل‌هایی که ادعا می‌شود از سوی سرویس امنیتی اوکراین آمده است. و اولین مورد در فوریه 2023 در مورد یک کمپین ایمیل انبوه با پیوست‌هایی که به نظر می‌رسید مرتبط با دادگاه منطقه‌ای در کیف است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign