नए RemcosRAT अभियान में दुर्लभ डेटा स्थानांतरण रणनीति का उपयोग करने वाला ख़तरा समूह

रेम्कोसआरएटी रिमोट सर्विलांस और कंट्रोल टूल के साथ यूक्रेन में संगठनों को बार-बार निशाना बनाने के लिए जाना जाने वाला एक खतरा अभिनेता फिर से वापस आ गया है, इस बार एंडपॉइंट डिटेक्शन और रिस्पॉन्स सिस्टम को ट्रिगर किए बिना डेटा ट्रांसफर करने की एक नई रणनीति के साथ।

UNC-0050 के रूप में ट्रैक किया गया प्रतिद्वंद्वी, अपने नवीनतम अभियान में यूक्रेनी सरकारी संस्थाओं पर केंद्रित है। इसे देखने वाले अपटीक्स के शोधकर्ताओं ने कहा कि ये हमले राजनीति से प्रेरित हो सकते हैं, जिनका लक्ष्य यूक्रेनी सरकारी एजेंसियों से विशिष्ट खुफिया जानकारी इकट्ठा करना है। अपटीक्स के शोधकर्ता कार्तिककुमार कथिरेसन और शिल्पेश त्रिवेदी ने कहा, "हालांकि राज्य प्रायोजन की संभावना अटकलें बनी हुई है, समूह की गतिविधियां विशेष रूप से विंडोज सिस्टम पर निर्भर सरकारी क्षेत्रों के लिए एक निर्विवाद जोखिम पैदा करती हैं।" इस सप्ताह एक रिपोर्ट में लिखा.

रेम्कोसआरएटी खतरा

धमकी देने वाले कलाकार इस्तेमाल करते रहे हैं रेमकोसआरएटी - जिसने कम से कम 2016 से समझौता किए गए सिस्टम को नियंत्रित करने के लिए एक वैध दूरस्थ प्रशासन उपकरण के रूप में जीवन शुरू किया। अन्य बातों के अलावा, यह उपकरण हमलावरों को सिस्टम, उपयोगकर्ता और प्रोसेसर की जानकारी इकट्ठा करने और घुसपैठ करने की अनुमति देता है। यह उपमार्ग कई एंटीवायरस और एंडपॉइंट खतरे का पता लगाने वाले उपकरण और विभिन्न प्रकार के बैकडोर कमांड निष्पादित करते हैं। कई मामलों में धमकी देने वाले अभिनेताओं ने फ़िशिंग ईमेल में अनुलग्नकों में मैलवेयर वितरित किया है।

Uptycs अभी तक नवीनतम अभियान में प्रारंभिक आक्रमण वेक्टर को निर्धारित करने में सक्षम नहीं हुआ है, लेकिन कहा है कि यह जॉब-थीम वाले फ़िशिंग और स्पैम ईमेल की ओर झुक रहा है क्योंकि संभवतः यह मैलवेयर वितरण विधि है। सुरक्षा विक्रेता ने अपना आकलन उन ईमेलों पर आधारित किया जिनकी उसने समीक्षा की थी, जिनमें लक्षित यूक्रेनी सैन्य कर्मियों को इज़राइल के रक्षा बलों में परामर्शी भूमिकाओं की पेशकश करने का दावा किया गया था।

संक्रमण श्रृंखला स्वयं एक .lnk फ़ाइल से शुरू होती है जो समझौता किए गए सिस्टम के बारे में जानकारी एकत्र करती है और फिर विंडोज नेटिव बाइनरी का उपयोग करके एक हमलावर-नियंत्रित रिमोट सर्वर से 6.hta नाम का एक HTML ऐप पुनर्प्राप्त करती है, Uptycs ने कहा। पुनर्प्राप्त ऐप में एक पावरशेल स्क्रिप्ट शामिल है जो एक हमलावर-नियंत्रित डोमेन से दो अन्य पेलोड फ़ाइलों (word_update.exe और ofer.docx) को डाउनलोड करने के लिए कदम उठाती है और - अंततः - सिस्टम पर RemcosRAT स्थापित करने के लिए।

कुछ हद तक दुर्लभ युक्ति

UNC-0050 के नए अभियान को जो चीज़ अलग बनाती है, वह है थ्रेट एक्टर का उपयोग विंडोज़ इंटरप्रोसेस संचार समझौता किए गए सिस्टम पर डेटा स्थानांतरित करने के लिए अनाम पाइप नामक सुविधा। जैसा कि माइक्रोसॉफ्ट इसका वर्णन करता है, एक अनाम पाइप माता-पिता और बच्चे की प्रक्रिया के बीच डेटा स्थानांतरित करने के लिए एक-तरफ़ा संचार चैनल है। काथिरेसन और त्रिवेदी ने कहा कि UNC-0050 किसी भी EDR या एंटीवायरस अलर्ट को ट्रिगर किए बिना डेटा को गुप्त रूप से चैनल करने की सुविधा का लाभ उठा रहा है।

यूएनसी-0050 चुराए गए डेटा को बाहर निकालने के लिए पाइप का उपयोग करने वाला पहला खतरनाक अभिनेता नहीं है, लेकिन यह रणनीति अपेक्षाकृत दुर्लभ है, अपटीक्स शोधकर्ताओं ने नोट किया। "हालांकि यह पूरी तरह से नई नहीं है, यह तकनीक समूह की रणनीतियों के परिष्कार में एक महत्वपूर्ण छलांग लगाती है," उन्होंने कहा।

यह पहली बार नहीं है कि सुरक्षा शोधकर्ताओं ने UAC-0050 को यूक्रेन में लक्ष्यों को RemcosRAT वितरित करने का प्रयास करते हुए देखा है। पिछले साल कई मौकों पर, यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-यूए) ने देश में संगठनों को रिमोट एक्सेस ट्रोजन वितरित करने के लिए खतरे वाले अभिनेता द्वारा अभियानों की चेतावनी दी थी।

सबसे हालिया था एक 21 दिसंबर, 2023 को सलाह, एक बड़े पैमाने पर फ़िशिंग अभियान के बारे में जिसमें अनुलग्नक के साथ ईमेल शामिल थे, जो कि यूक्रेन के सबसे बड़े दूरसंचार प्रदाताओं में से एक, कीवस्टार से जुड़ा एक अनुबंध था। इससे पहले दिसंबर में CERT-UA ने एक और चेतावनी दी थी RemcosRAT बड़े पैमाने पर वितरण अभियान, इसमें यूक्रेन और पोलैंड में संगठनों और व्यक्तियों को लक्षित करने वाले "न्यायिक दावों" और "ऋण" के बारे में ईमेल शामिल है। ईमेल में एक संग्रह फ़ाइल या RAR फ़ाइल के रूप में एक अनुलग्नक शामिल था।

सीईआरटी-यूए ने पिछले साल तीन अन्य मौकों पर इसी तरह के अलर्ट जारी किए थे, नवंबर में एक बार अदालत के सम्मन-थीम वाले ईमेल प्रारंभिक डिलीवरी माध्यम के रूप में काम कर रहे थे; दूसरा, नवंबर में भी, कथित तौर पर यूक्रेन की सुरक्षा सेवा से ईमेल के साथ; और फरवरी 2023 में संलग्नक के साथ एक बड़े पैमाने पर ईमेल अभियान के बारे में पहला, जो कीव में एक जिला अदालत से जुड़ा हुआ प्रतीत होता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign