Un groupe de menaces utilise des tactiques de transfert de données rares dans la nouvelle campagne RemcosRAT

Un acteur malveillant connu pour avoir ciblé à plusieurs reprises des organisations en Ukraine avec l'outil de surveillance et de contrôle à distance RemcosRAT est de retour, cette fois avec une nouvelle tactique permettant de transférer des données sans déclencher les systèmes de détection et de réponse des points finaux.

L'adversaire, identifié comme UNC-0050, se concentre sur les entités gouvernementales ukrainiennes lors de sa dernière campagne. Les chercheurs d'Uptycs qui l'ont repéré ont déclaré que les attaques pourraient être motivées par des raisons politiques, dans le but de collecter des renseignements spécifiques auprès des agences gouvernementales ukrainiennes. "Bien que la possibilité d'un parrainage public reste spéculative, les activités du groupe posent un risque indéniable, en particulier pour les secteurs gouvernementaux dépendants des systèmes Windows", ont déclaré Karthickkumar Kathiresan et Shilpesh Trivedi, chercheurs d'Uptycs. a écrit dans un rapport cette semaine.

La menace RemcosRAT

Les acteurs menaçants ont utilisé RemcosRAT – qui a commencé sa vie comme un outil d'administration à distance légitime – pour contrôler les systèmes compromis depuis au moins 2016. Entre autres choses, l'outil permet aux attaquants de collecter et d'exfiltrer les informations sur le système, les utilisateurs et le processeur. Ça peut contourner de nombreux outils de détection des menaces antivirus et des points de terminaison et exécute une variété de commandes de porte dérobée. Dans de nombreux cas, les acteurs malveillants ont distribué les logiciels malveillants dans des pièces jointes contenues dans des e-mails de phishing.

Uptycs n'a pas encore été en mesure de déterminer le vecteur d'attaque initial de la dernière campagne, mais a déclaré qu'il se tournait vers le phishing sur le thème du travail et les courriers indésirables comme étant la méthode de distribution de logiciels malveillants la plus probable. Le fournisseur de services de sécurité a basé ses évaluations sur des courriels qu’il a examinés et qui prétendaient proposer à des militaires ukrainiens ciblés des rôles de consultant au sein des forces de défense israéliennes.

La chaîne d'infection elle-même commence par un fichier .lnk qui rassemble des informations sur le système compromis, puis récupère une application HTML nommée 6.hta à partir d'un serveur distant contrôlé par un attaquant à l'aide d'un binaire natif Windows, a déclaré Uptycs. L'application récupérée contient un script PowerShell qui lance les étapes de téléchargement de deux autres fichiers de charge utile (word_update.exe et ofer.docx) à partir d'un domaine contrôlé par un attaquant et, finalement, d'installation de RemcosRAT sur le système.

Une tactique assez rare

Ce qui rend la nouvelle campagne UNC-0050 différente, c’est l’utilisation par l’acteur menaçant d’un Communications interprocessus Windows fonctionnalité appelée canaux anonymes pour transférer des données sur des systèmes compromis. Comme Microsoft le décrit, un canal anonyme est un canal de communication unidirectionnel permettant de transférer des données entre un processus parent et un processus enfant. UNC-0050 profite de cette fonctionnalité pour canaliser secrètement les données sans déclencher d'alerte EDR ou antivirus, ont déclaré Kathiresan et Trivedi.

UNC-0050 n'est pas le premier acteur malveillant à utiliser des tuyaux pour exfiltrer des données volées, mais cette tactique reste relativement rare, ont noté les chercheurs d'Uptycs. "Bien qu'elle ne soit pas entièrement nouvelle, cette technique marque un bond significatif dans la sophistication des stratégies du groupe", ont-ils déclaré.

C’est loin d’être la première fois que des chercheurs en sécurité repèrent l’UAC-0050 tentant de distribuer RemcosRAT à des cibles en Ukraine. À plusieurs reprises l’année dernière, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a mis en garde contre les campagnes menées par l’acteur malveillant pour distribuer le cheval de Troie d’accès à distance aux organisations du pays.

Le plus récent était un avis du 21 décembre 2023, à propos d’une campagne de phishing massive impliquant des e-mails avec une pièce jointe prétendument être un contrat impliquant Kyivstar, l’un des plus grands fournisseurs de télécommunications d’Ukraine. Plus tôt en décembre, le CERT-UA a mis en garde contre un autre Distribution de masse RemcosRAT campagne, celle-ci impliquant des courriels prétendant concerner des « réclamations judiciaires » et des « dettes » ciblant des organisations et des individus en Ukraine et en Pologne. Les e-mails contenaient une pièce jointe sous la forme d'un fichier d'archive ou d'un fichier RAR.

Le CERT-UA a émis des alertes similaires à trois autres occasions l'année dernière, une en novembre avec des courriels sur le thème des assignations à comparaître servant de moyen de livraison initial ; un autre, également en novembre, avec des courriels provenant prétendument des services de sécurité ukrainiens ; et la première, en février 2023, concernant une campagne massive d'e-mails contenant des pièces jointes qui semblaient être associées à un tribunal de district de Kiev.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign