Ritka adatátviteli taktikát alkalmazó fenyegetéscsoport az új RemcosRAT kampányban

Az ukrajnai szervezeteket a RemcosRAT távoli felügyeleti és vezérlési eszközzel ismételten megcélzó fenyegetettségről ismert fenyegetettség újra nekivág, ezúttal egy új taktikával az adatok továbbítására a végpontészlelő és -válaszrendszerek kiváltása nélkül.

Az UNC-0050 néven nyomon követett ellenfél legutóbbi kampányában az ukrán kormányzati szervekre összpontosít. Az Uptycs kutatói, akik észrevették, azt mondták, hogy a támadások politikai indíttatásúak lehetnek, és az a cél, hogy konkrét hírszerzési információkat gyűjtsenek az ukrán kormányzati szervektől. "Bár az állami szponzorálás lehetősége továbbra is spekulatív, a csoport tevékenysége tagadhatatlan kockázatot jelent, különösen a Windows rendszerekre támaszkodó kormányzati szektorok számára" - mondta Karthickkumar Kathiresan és Shilpesh Trivedi, az Uptycs kutatói. – írta egy e heti jelentésében.

A RemcosRAT fenyegetés

A fenyegetés szereplői használtak RemcosRAT – amely legitim távoli adminisztrációs eszközként indult – legalább 2016 óta a feltört rendszerek ellenőrzésére. Az eszköz többek között lehetővé teszi a támadók számára, hogy rendszer-, felhasználói- és processzorinformációkat gyűjtsenek és szűrjenek ki. Az tud kitérő számos víruskereső és végponti fenyegetésészlelő eszköz, és számos hátsó ajtó parancsot hajt végre. Sok esetben a fenyegetés szereplői adathalász e-mailek mellékleteiben terjesztették a kártevőt.

Az Uptycs a legújabb kampányban még nem tudta meghatározni a kezdeti támadási vektort, de azt mondta, hogy a munka témájú adathalász és spam e-mailek felé hajlik, mivel valószínűleg a rosszindulatú programok terjesztési módja. A biztonsági szolgáltató az általa felülvizsgált e-mailekre alapozta értékelését, amelyek állítólag ukrán katonai személyzetet ajánlottak fel tanácsadói szerepkörrel az izraeli védelmi erőknél.

Maga a fertőzési lánc egy .lnk fájllal kezdődik, amely információkat gyűjt a feltört rendszerről, majd lekéri a 6.hta nevű HTML-alkalmazást egy támadó által vezérelt távoli szerverről egy Windows natív bináris segítségével – mondta Uptycs. A letöltött alkalmazás tartalmaz egy PowerShell-szkriptet, amely lépéseket kezdeményez két másik hasznos fájl (word_update.exe és ofer.docx) letöltéséhez a támadó által vezérelt tartományból, és végül a RemcosRAT telepítéséhez a rendszerre.

Egy kissé ritka taktika

Ami az UNC-0050 új kampányát különbözteti meg, az az, hogy a fenyegetés szereplői a A Windows folyamatok közötti kommunikáció névtelen csöveknek nevezett szolgáltatás a kompromittált rendszereken lévő adatok átviteléhez. A Microsoft leírása szerint az anonim cső egy egyirányú kommunikációs csatorna az adatok átviteléhez a szülő és a gyermekfolyamat között. Kathiresan és Trivedi szerint az UNC-0050 kihasználja a funkció előnyeit az adatok titkos továbbítására anélkül, hogy EDR- vagy vírusvédelmi riasztást váltana ki.

Nem az UNC-0050 az első olyan fenyegetőző, aki csöveket használ az ellopott adatok kiszűrésére, de ez a taktika továbbra is viszonylag ritka, állapították meg az Uptycs kutatói. "Bár nem teljesen új, ez a technika jelentős ugrást jelent a csoport stratégiáinak kifinomultságában" - mondták.

Nem ez az első alkalom, hogy a biztonsági kutatók észrevették az UAC-0050-et, amely megpróbálja elosztani a RemcosRAT-ot Ukrajnában. Tavaly az ukrán Computer Emergency Response Team (CERT-UA) többször is figyelmeztetett a fenyegetettség szereplőinek kampányaira, amelyek célja a távoli hozzáférésű trójai program szétosztása az országban lévő szervezetek között.

A legutóbbi egy volt tájékoztató 21. december 2023-én, amely egy tömeges adathalász kampányról szól, amelynek melléklete olyan e-maileket tartalmaz, amelyek állítólag a Kyivstar, Ukrajna egyik legnagyobb távközlési szolgáltatójával kötött szerződés. December elején a CERT-UA egy másikra figyelmeztetett RemcosRAT tömegeloszlás kampány, ez olyan e-maileket tartalmaz, amelyek állítólag „bírósági követelésekről” és „adósságokról” szólnak Ukrajnában és Lengyelországban működő szervezeteket és magánszemélyeket célozva. Az e-mailek mellékletet tartalmaztak archív fájl vagy RAR fájl formájában.

A CERT-UA tavaly három másik alkalommal adott ki hasonló riasztást, az egyiket novemberben, amikor a bírósági idézés témájú e-mailek szolgáltak a kezdeti kézbesítési eszközként; egy másik, szintén novemberben, állítólagos e-mailekkel Ukrajna biztonsági szolgálatától; az első pedig 2023 februárjában egy tömeges e-mail-kampányról szólt, mellékletekkel, amelyek a jelek szerint egy kijevi kerületi bírósághoz kapcsolódnak.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign