Gruppo di minaccia che utilizza la tattica di trasferimento di dati rari nella nuova campagna RemcosRAT

Un attore di minacce noto per aver preso di mira ripetutamente le organizzazioni in Ucraina con lo strumento di sorveglianza e controllo remoto RemcosRAT è tornato all'attacco, questa volta con una nuova tattica per trasferire dati senza attivare i sistemi di rilevamento e risposta degli endpoint.

L'avversario, identificato come UNC-0050, nella sua ultima campagna si concentra sugli enti governativi ucraini. I ricercatori di Uptycs che l’hanno notato hanno affermato che gli attacchi potrebbero essere motivati ​​politicamente, con l’obiettivo di raccogliere informazioni specifiche dalle agenzie governative ucraine. "Sebbene la possibilità di una sponsorizzazione statale rimanga speculativa, le attività del gruppo rappresentano un rischio innegabile, soprattutto per i settori governativi che fanno affidamento sui sistemi Windows", i ricercatori di Uptycs Karthickkumar Kathiresan e Shilpesh Trivedi ha scritto in un rapporto questa settimana.

La minaccia RemcosRAT

Gli autori delle minacce hanno utilizzato RemcosRAT – nato come strumento legittimo di amministrazione remota – per controllare i sistemi compromessi almeno dal 2016. Tra le altre cose, lo strumento consente agli aggressori di raccogliere ed esfiltrare informazioni su sistema, utente e processore. Può aggirare molti strumenti antivirus e di rilevamento delle minacce endpoint ed esegue una varietà di comandi backdoor. In molti casi gli autori delle minacce hanno distribuito il malware negli allegati delle e-mail di phishing.

Uptycs non è stata ancora in grado di determinare il vettore di attacco iniziale nell'ultima campagna, ma ha affermato che si sta orientando verso e-mail di phishing e spam a tema lavorativo poiché molto probabilmente il metodo di distribuzione del malware. Il fornitore di servizi di sicurezza ha basato le sue valutazioni su e-mail esaminate che pretendevano di offrire personale militare ucraino mirato con ruoli di consulenza presso le forze di difesa israeliane.

La catena di infezione stessa inizia con un file .lnk che raccoglie informazioni sul sistema compromesso e quindi recupera un'app HTML denominata 6.hta da un server remoto controllato dall'aggressore utilizzando un binario nativo di Windows, ha affermato Uptycs. L'app recuperata contiene uno script PowerShell che avvia i passaggi per scaricare altri due file di payload (word_update.exe e ofer.docx) da un dominio controllato dall'aggressore e, infine, per installare RemcosRAT sul sistema.

Una tattica piuttosto rara

Ciò che rende diversa la nuova campagna di UNC-0050 è l’uso da parte dell’autore della minaccia di un file Comunicazioni tra processi Windows funzionalità chiamata pipe anonime per trasferire dati su sistemi compromessi. Come la descrive Microsoft, una pipe anonima è un canale di comunicazione unidirezionale per il trasferimento di dati tra un processo padre e un processo figlio. UNC-0050 sta sfruttando la funzionalità per canalizzare segretamente i dati senza attivare alcun avviso EDR o antivirus, hanno affermato Kathiresan e Trivedi.

UNC-0050 non è il primo attore di minacce a utilizzare pipe per esfiltrare dati rubati, ma la tattica rimane relativamente rara, hanno osservato i ricercatori di Uptycs. “Sebbene non sia del tutto nuova, questa tecnica segna un salto significativo nel livello di sofisticazione delle strategie del gruppo”, hanno affermato.

Questa non è la prima volta che i ricercatori della sicurezza hanno individuato il tentativo di UAC-0050 di distribuire RemcosRAT a obiettivi in ​​Ucraina. L’anno scorso, in più occasioni, il Computer Emergency Response Team (CERT-UA) dell’Ucraina ha messo in guardia contro le campagne degli autori della minaccia volte a distribuire il trojan con accesso remoto alle organizzazioni del paese.

Il più recente è stato un avviso il 21 dicembre 2023, su una campagna di phishing di massa che coinvolgeva e-mail con un allegato che si presumeva fosse un contratto che coinvolgeva Kyivstar, uno dei maggiori fornitori di telecomunicazioni dell'Ucraina. All’inizio di dicembre, il CERT-UA ne aveva avvertito un altro Distribuzione di massa RemcosRAT campagna, questa volta coinvolgendo e-mail che pretendono di riguardare "rivendicazioni giudiziarie" e "debiti" rivolte a organizzazioni e individui in Ucraina e Polonia. Le e-mail contenevano un allegato sotto forma di file di archivio o file RAR.

Il CERT-UA ha emesso avvisi simili in altre tre occasioni lo scorso anno, una a novembre con e-mail a tema di citazione in tribunale che fungevano da veicolo di consegna iniziale; un altro, sempre a novembre, con e-mail presumibilmente provenienti dai servizi di sicurezza ucraini; e il primo nel febbraio 2023 su una campagna di massa via e-mail con allegati che sembrava essere associata a un tribunale distrettuale di Kiev.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign