یک عامل تهدید که به دلیل هدف قرار دادن مکرر سازمان ها در اوکراین با ابزار نظارت و کنترل از راه دور RemcosRAT شناخته شده است، دوباره به آن بازگشته است، این بار با یک تاکتیک جدید برای انتقال داده ها بدون راه اندازی سیستم های تشخیص و پاسخ نقطه پایانی.
این دشمن که با نام UNC-0050 دنبال میشود، در آخرین کارزار خود بر نهادهای دولتی اوکراین متمرکز شده است. محققان Uptycs که آن را مشاهده کردند گفتند که این حملات ممکن است انگیزه سیاسی داشته باشد و هدف آن جمع آوری اطلاعات خاص از سازمان های دولتی اوکراین باشد. Karthickkumar Kathiresan و Shilpesh Trivedi، محققان Uptycs، "در حالی که احتمال حمایت دولتی همچنان حدس و گمان است، فعالیت های گروه خطر غیرقابل انکاری را به همراه دارد، به ویژه برای بخش های دولتی وابسته به سیستم های ویندوز". این هفته در گزارشی نوشت.
تهدید RemcosRAT
بازیگران تهدید استفاده کرده اند RemcosRAT - که زندگی خود را به عنوان یک ابزار قانونی مدیریت از راه دور آغاز کرد - برای کنترل سیستم های در معرض خطر حداقل از سال 2016. از جمله موارد دیگر، این ابزار به مهاجمان اجازه می دهد تا اطلاعات سیستم، کاربر و پردازنده را جمع آوری و استخراج کنند. می تواند گذرگاه بسیاری از آنتی ویروس ها و ابزارهای تشخیص تهدید نقطه پایانی و اجرای انواع دستورات در پشتی. در بسیاری از موارد عوامل تهدید، بدافزار را در پیوستهای ایمیلهای فیشینگ توزیع کردهاند.
Uptycs هنوز نتوانسته است بردار حمله اولیه را در آخرین کمپین تعیین کند، اما گفته است که به سمت ایمیلهای فیشینگ و هرزنامه با موضوع شغل متمایل است زیرا به احتمال زیاد روش توزیع بدافزار است. این فروشنده امنیتی ارزیابیهای خود را بر اساس ایمیلهایی است که بررسی کرده بود و ظاهراً به پرسنل نظامی اوکراینی هدفمند با نقشهای مشاوره در نیروهای دفاعی اسرائیل پیشنهاد میدادند.
Uptycs گفت که زنجیره عفونت خود با یک فایل lnk شروع می شود که اطلاعات مربوط به سیستم در معرض خطر را جمع آوری می کند و سپس یک برنامه HTML به نام 6.hta را از یک سرور راه دور کنترل شده توسط مهاجم با استفاده از یک باینری بومی ویندوز بازیابی می کند. برنامه بازیابی شده حاوی یک اسکریپت PowerShell است که مراحل دانلود دو فایل payload دیگر (word_update.exe و ofer.docx) را از یک دامنه تحت کنترل مهاجم و - در نهایت - نصب RemcosRAT در سیستم را آغاز می کند.
تاکتیکی تا حدودی نادر
چیزی که کمپین جدید UNC-0050 را متفاوت می کند، استفاده عامل تهدید از a است ارتباطات بین فرآیندی ویندوز قابلیتی به نام لوله های ناشناس برای انتقال داده ها در سیستم های در معرض خطر. همانطور که مایکروسافت آن را توصیف می کند، یک لوله ناشناس یک کانال ارتباطی یک طرفه برای انتقال داده ها بین فرآیند والدین و فرزند است. Kathiresan و Trivedi گفتند که UNC-0050 از این ویژگی برای کانالگذاری مخفیانه دادهها بدون ایجاد هرگونه هشدار EDR یا آنتی ویروس استفاده میکند.
به گفته محققان Uptycs، UNC-0050 اولین عامل تهدید کننده ای نیست که از لوله ها برای استخراج داده های سرقت شده استفاده می کند، اما این تاکتیک نسبتاً نادر است. آنها گفتند: «اگرچه این تکنیک کاملاً جدید نیست، اما جهش قابل توجهی در پیچیدگی استراتژی های گروه نشان می دهد.
این دور از اولین باری است که محققان امنیتی UAC-0050 را در تلاش برای توزیع RemcosRAT در اهدافی در اوکراین مشاهده کردند. در سال گذشته در موارد متعدد، تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) نسبت به کمپین های عامل تهدید برای توزیع تروجان دسترسی از راه دور در سازمان ها در کشور هشدار داد.
جدیدترین مورد یک بود مشاوره در 21 دسامبر 2023در مورد یک کمپین فیشینگ انبوه شامل ایمیلهایی با پیوستی که ظاهراً قراردادی با Kyivstar، یکی از بزرگترین ارائهدهندگان مخابرات اوکراین است. در اوایل ماه دسامبر، CERT-UA در مورد دیگری هشدار داد توزیع جرم RemcosRAT کمپین، این یکی شامل ایمیلهایی است که ادعا میکنند درباره «ادعاهای قضایی» و «بدهی» سازمانها و افراد در اوکراین و لهستان را هدف قرار میدهند. ایمیل ها حاوی پیوستی به شکل یک فایل آرشیو یا فایل RAR بودند.
CERT-UA هشدارهای مشابهی را در سه مورد دیگر در سال گذشته صادر کرد، یکی در نوامبر با ایمیلهایی با مضمون احضار دادگاه که به عنوان وسیله تحویل اولیه خدمت میکردند. دیگری، همچنین در ماه نوامبر، با ایمیلهایی که ادعا میشود از سوی سرویس امنیتی اوکراین آمده است. و اولین مورد در فوریه 2023 در مورد یک کمپین ایمیل انبوه با پیوستهایی که به نظر میرسید مرتبط با دادگاه منطقهای در کیف است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- : دارد
- :است
- :نه
- 2016
- 2023
- 7
- a
- قادر
- درباره ما
- دسترسی
- فعالیت ها
- بازیگران
- حکومت
- مزیت - فایده - سود - منفعت
- از نو
- سازمان
- تصویر، موسیقی
- ادعا شده
- اجازه می دهد تا
- همچنین
- هر چند
- در میان
- an
- و
- ناشناس
- دیگر
- آنتی ویروس
- هر
- نرم افزار
- به نظر می رسد
- بایگانی
- AS
- ارزیابی ها
- مرتبط است
- At
- حمله
- حمله
- تلاش
- به عقب
- درپشتی
- مستقر
- BE
- بوده
- بودن
- میان
- اما
- by
- نام
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- زنجیر
- کانال
- کودک
- ادعای
- جمع آوری
- ارتباطات
- در معرض خطر
- کامپیوتر
- مشاوره
- موجود
- شامل
- قرارداد
- کنترل
- کشور
- دادگاه
- داده ها
- دسامبر
- دسامبر
- دفاع
- تحویل
- توصیف
- کشف
- مشخص کردن
- مختلف
- توزیع کردن
- توزیع شده
- توزیع
- ناحیه
- دادگاه منطقه
- دامنه
- دانلود
- پیش از آن
- پست الکترونیک
- ایمیل
- اورژانس
- نقطه پایانی
- به طور کامل
- اشخاص
- به خصوص
- اجرا کردن
- بسیار
- ویژگی
- فوریه
- پرونده
- فایل ها
- نام خانوادگی
- بار اول
- متمرکز شده است
- برای
- نیروهای
- فرم
- از جانب
- جمع آوری
- هدف
- دولت
- سازمان های دولتی
- نهادهای دولتی
- گروه
- آیا
- HTML
- HTTPS
- in
- افراد
- اطلاعات
- اول
- شروع می کند
- نصب
- اطلاعات
- شامل
- اسرائيل
- صادر
- IT
- ITS
- خود
- JPG
- قضایی
- تنها
- شناخته شده
- بزرگترین
- نام
- پارسال
- آخرین
- پرش
- کمترین
- قانونی
- زندگی
- احتمالا
- باعث می شود
- نرم افزارهای مخرب
- بسیاری
- توده
- ممکن است..
- روش
- مایکروسافت
- نظامی
- اکثر
- انگیزه
- چندگانه
- تحت عنوان
- بومی
- جدید
- اشاره کرد
- نوامبر
- موارد
- of
- ارائه
- on
- ONE
- or
- سازمان های
- دیگر
- پرسنل
- فیشینگ
- کمپین فیشینگ
- لوله
- افلاطون
- هوش داده افلاطون
- PlatoData
- لهستان
- از نظر سیاسی
- در برخواهد داشت
- امکان
- PowerShell را
- روند
- پردازنده
- ارائه دهندگان
- نادر
- اخیر
- نسبتا
- بقایای
- دور
- دسترسی از راه دور
- به طور مکرر
- گزارش
- محققان
- پاسخ
- بررسی
- خطر
- نقش
- s
- سعید
- خط
- بخش ها
- تیم امنیت لاتاری
- سرور
- سرویس
- خدمت
- قابل توجه
- مشابه
- پس از
- تاحدی
- پیچیدگی
- اسپم
- خاص
- نظری
- حمایت
- آغاز شده
- دولت
- مراحل
- به سرقت رفته
- استراتژی ها
- نظارت
- سیستم
- سیستم های
- مصرف
- هدف قرار
- هدف گذاری
- اهداف
- تیم
- تکنیک
- ارتباط از راه دور
- که
- La
- سپس
- آنها
- اشیاء
- این
- تهدید
- بازیگران تهدید
- سه
- زمان
- به
- ابزار
- ابزار
- نسبت به
- انتقال
- انتقال
- راه اندازی
- تروجان
- دو
- اوکراین
- اوکراین
- در نهایت
- غیر قابل انکار
- استفاده کنید
- کاربر
- با استفاده از
- تنوع
- وسیله نقلیه
- فروشنده
- هشدار داد
- بود
- که
- در حین
- WHO
- پنجره
- با
- بدون
- سال
- هنوز
- زفیرنت