Grup Ancaman Menggunakan Taktik Transfer Data Langka dalam Kampanye RemcosRAT Baru

Aktor ancaman yang dikenal berulang kali menargetkan organisasi di Ukraina dengan alat pengawasan dan kontrol jarak jauh RemcosRAT kembali melakukannya, kali ini dengan taktik baru untuk mentransfer data tanpa memicu sistem deteksi dan respons titik akhir.

Musuh, yang dilacak sebagai UNC-0050, berfokus pada entitas pemerintah Ukraina dalam kampanye terbarunya. Para peneliti di Uptycs yang melihatnya mengatakan bahwa serangan tersebut mungkin bermotif politik, dengan tujuan mengumpulkan informasi intelijen spesifik dari lembaga pemerintah Ukraina. “Meskipun kemungkinan sponsor negara masih bersifat spekulatif, aktivitas kelompok ini menimbulkan risiko yang tidak dapat disangkal, terutama bagi sektor pemerintah yang bergantung pada sistem Windows,” peneliti Uptycs, Karthickkumar Kathiresan dan Shilpesh Trivedi tulis dalam laporan minggu ini.

Ancaman RemcosRAT

Ancaman telah digunakan oleh para aktor RemcosRAT — yang awalnya merupakan alat administrasi jarak jauh yang sah — untuk mengontrol sistem yang disusupi setidaknya sejak tahun 2016. Antara lain, alat tersebut memungkinkan penyerang mengumpulkan dan mengekstrak informasi sistem, pengguna, dan pemroses. Bisa memotong banyak alat deteksi ancaman antivirus dan titik akhir dan menjalankan berbagai perintah pintu belakang. Dalam banyak kasus, pelaku ancaman telah mendistribusikan malware dalam lampiran di email phishing.

Uptycs belum dapat menentukan vektor serangan awal dalam kampanye terbarunya, namun mengatakan pihaknya condong ke arah phishing dan email spam bertema pekerjaan karena kemungkinan besar merupakan metode distribusi malware. Vendor keamanan tersebut mendasarkan penilaiannya pada email yang ditinjaunya yang dimaksudkan untuk menawarkan personel militer Ukraina yang menjadi sasaran dengan peran konsultasi di Angkatan Pertahanan Israel.

Rantai infeksi itu sendiri dimulai dengan file .lnk yang mengumpulkan informasi tentang sistem yang disusupi dan kemudian mengambil aplikasi HTML bernama 6.hta dari server jarak jauh yang dikendalikan penyerang menggunakan biner asli Windows, kata Uptycs. Aplikasi yang diambil berisi skrip PowerShell yang memulai langkah-langkah untuk mengunduh dua file payload lainnya (word_update.exe dan ofer.docx) dari domain yang dikendalikan penyerang dan — pada akhirnya — untuk menginstal RemcosRAT pada sistem.

Taktik yang Agak Langka

Apa yang membuat kampanye baru UNC-0050 berbeda adalah penggunaan a Komunikasi antarproses Windows fitur yang disebut pipa anonim untuk mentransfer data pada sistem yang disusupi. Seperti yang dijelaskan Microsoft, pipa anonim adalah saluran komunikasi satu arah untuk mentransfer data antara proses induk dan anak. UNC-0050 memanfaatkan fitur ini untuk menyalurkan data secara diam-diam tanpa memicu peringatan EDR atau antivirus apa pun, kata Kathiresan dan Trivedi.

UNC-0050 bukanlah pelaku ancaman pertama yang menggunakan pipa untuk menyaring data yang dicuri, namun taktik ini masih relatif jarang, kata para peneliti Uptycs. “Meskipun tidak sepenuhnya baru, teknik ini menandai lompatan signifikan dalam kecanggihan strategi kelompok ini,” kata mereka.

Ini bukan pertama kalinya peneliti keamanan melihat UAC-0050 mencoba mendistribusikan RemcosRAT ke target di Ukraina. Pada beberapa kesempatan tahun lalu, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) memperingatkan adanya kampanye yang dilakukan oleh pelaku ancaman untuk mendistribusikan Trojan akses jarak jauh ke organisasi-organisasi di negara tersebut.

Yang terbaru adalah penasehatan pada 21 Desember 2023, tentang kampanye phishing massal yang melibatkan email dengan lampiran yang konon merupakan kontrak yang melibatkan Kyivstar, salah satu penyedia telekomunikasi terbesar di Ukraina. Sebelumnya pada bulan Desember, CERT-UA memperingatkan adanya hal lain Distribusi massal RemcosRAT Kampanye ini melibatkan email yang berisi tentang “tuntutan hukum” dan “utang” yang menyasar organisasi dan individu di Ukraina dan Polandia. Email tersebut berisi lampiran berupa file arsip atau file RAR.

CERT-UA mengeluarkan peringatan serupa pada tiga kesempatan lain tahun lalu, satu di bulan November dengan email bertema panggilan pengadilan yang berfungsi sebagai sarana pengiriman awal; satu lagi, juga pada bulan November, dengan email yang diduga berasal dari dinas keamanan Ukraina; dan yang pertama pada bulan Februari 2023 tentang kampanye email massal dengan lampiran yang tampaknya terkait dengan pengadilan distrik di Kyiv.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign