Az ukrajnai szervezeteket a RemcosRAT távoli felügyeleti és vezérlési eszközzel ismételten megcélzó fenyegetettségről ismert fenyegetettség újra nekivág, ezúttal egy új taktikával az adatok továbbítására a végpontészlelő és -válaszrendszerek kiváltása nélkül.
Az UNC-0050 néven nyomon követett ellenfél legutóbbi kampányában az ukrán kormányzati szervekre összpontosít. Az Uptycs kutatói, akik észrevették, azt mondták, hogy a támadások politikai indíttatásúak lehetnek, és az a cél, hogy konkrét hírszerzési információkat gyűjtsenek az ukrán kormányzati szervektől. "Bár az állami szponzorálás lehetősége továbbra is spekulatív, a csoport tevékenysége tagadhatatlan kockázatot jelent, különösen a Windows rendszerekre támaszkodó kormányzati szektorok számára" - mondta Karthickkumar Kathiresan és Shilpesh Trivedi, az Uptycs kutatói. – írta egy e heti jelentésében.
A RemcosRAT fenyegetés
A fenyegetés szereplői használtak RemcosRAT – amely legitim távoli adminisztrációs eszközként indult – legalább 2016 óta a feltört rendszerek ellenőrzésére. Az eszköz többek között lehetővé teszi a támadók számára, hogy rendszer-, felhasználói- és processzorinformációkat gyűjtsenek és szűrjenek ki. Az tud kitérő számos víruskereső és végponti fenyegetésészlelő eszköz, és számos hátsó ajtó parancsot hajt végre. Sok esetben a fenyegetés szereplői adathalász e-mailek mellékleteiben terjesztették a kártevőt.
Az Uptycs a legújabb kampányban még nem tudta meghatározni a kezdeti támadási vektort, de azt mondta, hogy a munka témájú adathalász és spam e-mailek felé hajlik, mivel valószínűleg a rosszindulatú programok terjesztési módja. A biztonsági szolgáltató az általa felülvizsgált e-mailekre alapozta értékelését, amelyek állítólag ukrán katonai személyzetet ajánlottak fel tanácsadói szerepkörrel az izraeli védelmi erőknél.
Maga a fertőzési lánc egy .lnk fájllal kezdődik, amely információkat gyűjt a feltört rendszerről, majd lekéri a 6.hta nevű HTML-alkalmazást egy támadó által vezérelt távoli szerverről egy Windows natív bináris segítségével – mondta Uptycs. A letöltött alkalmazás tartalmaz egy PowerShell-szkriptet, amely lépéseket kezdeményez két másik hasznos fájl (word_update.exe és ofer.docx) letöltéséhez a támadó által vezérelt tartományból, és végül a RemcosRAT telepítéséhez a rendszerre.
Egy kissé ritka taktika
Ami az UNC-0050 új kampányát különbözteti meg, az az, hogy a fenyegetés szereplői a A Windows folyamatok közötti kommunikáció névtelen csöveknek nevezett szolgáltatás a kompromittált rendszereken lévő adatok átviteléhez. A Microsoft leírása szerint az anonim cső egy egyirányú kommunikációs csatorna az adatok átviteléhez a szülő és a gyermekfolyamat között. Kathiresan és Trivedi szerint az UNC-0050 kihasználja a funkció előnyeit az adatok titkos továbbítására anélkül, hogy EDR- vagy vírusvédelmi riasztást váltana ki.
Nem az UNC-0050 az első olyan fenyegetőző, aki csöveket használ az ellopott adatok kiszűrésére, de ez a taktika továbbra is viszonylag ritka, állapították meg az Uptycs kutatói. "Bár nem teljesen új, ez a technika jelentős ugrást jelent a csoport stratégiáinak kifinomultságában" - mondták.
Nem ez az első alkalom, hogy a biztonsági kutatók észrevették az UAC-0050-et, amely megpróbálja elosztani a RemcosRAT-ot Ukrajnában. Tavaly az ukrán Computer Emergency Response Team (CERT-UA) többször is figyelmeztetett a fenyegetettség szereplőinek kampányaira, amelyek célja a távoli hozzáférésű trójai program szétosztása az országban lévő szervezetek között.
A legutóbbi egy volt tájékoztató 21. december 2023-én, amely egy tömeges adathalász kampányról szól, amelynek melléklete olyan e-maileket tartalmaz, amelyek állítólag a Kyivstar, Ukrajna egyik legnagyobb távközlési szolgáltatójával kötött szerződés. December elején a CERT-UA egy másikra figyelmeztetett RemcosRAT tömegeloszlás kampány, ez olyan e-maileket tartalmaz, amelyek állítólag „bírósági követelésekről” és „adósságokról” szólnak Ukrajnában és Lengyelországban működő szervezeteket és magánszemélyeket célozva. Az e-mailek mellékletet tartalmaztak archív fájl vagy RAR fájl formájában.
A CERT-UA tavaly három másik alkalommal adott ki hasonló riasztást, az egyiket novemberben, amikor a bírósági idézés témájú e-mailek szolgáltak a kezdeti kézbesítési eszközként; egy másik, szintén novemberben, állítólagos e-mailekkel Ukrajna biztonsági szolgálatától; az első pedig 2023 februárjában egy tömeges e-mail-kampányról szólt, mellékletekkel, amelyek a jelek szerint egy kijevi kerületi bírósághoz kapcsolódnak.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :van
- :is
- :nem
- 2016
- 2023
- 7
- a
- Képes
- Rólunk
- hozzáférés
- tevékenységek
- szereplők
- igazgatás
- Előny
- újra
- ügynökségek
- Figyelmeztetések
- állítólag
- lehetővé teszi, hogy
- Is
- Bár
- között
- an
- és a
- Névtelenül
- Másik
- víruskereső
- bármilyen
- app
- megjelent
- Archív
- AS
- értékelések
- társult
- At
- támadás
- Támadások
- megkísérlése
- vissza
- hátsó ajtó
- alapján
- BE
- óta
- hogy
- között
- de
- by
- hívott
- Kampány
- Kampányok
- TUD
- lánc
- csatorna
- gyermek
- követelések
- Gyűjtő
- távközlés
- Veszélyeztetett
- számítógép
- tanácsadás
- tartalmazott
- tartalmaz
- szerződés
- ellenőrzés
- ország
- Bíróság
- dátum
- december
- december
- Védelem
- kézbesítés
- körülír
- Érzékelés
- Határozzuk meg
- különböző
- terjeszteni
- megosztott
- terjesztés
- kerület
- kerületi Bíróság
- domain
- letöltés
- Korábban
- e-mailek
- vészhelyzet
- Endpoint
- teljesen
- Szervezetek
- különösen
- kivégez
- messze
- Funkció
- február
- filé
- Fájlok
- vezetéknév
- első
- összpontosított
- A
- erők
- forma
- ból ből
- gyűjt
- cél
- Kormány
- kormányzati szervek
- Kormányzati szervezetek
- Csoport
- Legyen
- HTML
- HTTPS
- in
- egyének
- információ
- kezdetben
- beavatottak
- telepíteni
- Intelligencia
- bevonásával
- Izrael
- Kiadott
- IT
- ITS
- maga
- jpg
- bírósági
- éppen
- ismert
- legnagyobb
- keresztnév
- Tavaly
- legutolsó
- Ugrás
- legkevésbé
- jogos
- élet
- Valószínű
- KÉSZÍT
- malware
- sok
- Tömeg
- Lehet..
- módszer
- microsoft
- Katonai
- a legtöbb
- motivált
- többszörös
- Nevezett
- bennszülött
- Új
- neves
- november
- alkalommal
- of
- ajánlat
- on
- ONE
- or
- szervezetek
- Más
- személyzet
- Adathalászat
- adathalász kampány
- cső
- Plató
- Platón adatintelligencia
- PlatoData
- Lengyelország
- politikailag
- póz
- lehetőség
- PowerShell
- folyamat
- Processzor
- szolgáltatók
- RITKA
- új
- viszonylag
- maradványok
- távoli
- távoli hozzáférés
- TÖBBSZÖR
- jelentést
- kutatók
- válasz
- felül
- Kockázat
- szerepek
- s
- Mondott
- forgatókönyv
- ágazatok
- biztonság
- szerver
- szolgáltatás
- szolgáló
- jelentős
- hasonló
- óta
- némileg
- kifinomultság
- spam
- különleges
- spekulatív
- szponzorálás
- kezdődött
- Állami
- Lépései
- lopott
- stratégiák
- felügyelet
- rendszer
- Systems
- bevétel
- célzott
- célzás
- célok
- csapat
- technika
- távközlés
- hogy
- A
- akkor
- ők
- dolgok
- ezt
- fenyegetés
- fenyegetés szereplői
- három
- idő
- nak nek
- szerszám
- szerszámok
- felé
- átruházás
- Átadó
- kioldás
- trójai
- kettő
- Ukrajna
- ukrán
- Végül
- tagadhatatlan
- használ
- használó
- segítségével
- fajta
- jármű
- eladó
- figyelmeztetett
- volt
- ami
- míg
- WHO
- ablakok
- val vel
- nélkül
- év
- még
- zephyrnet