קבוצת איומים באמצעות טקטיקה נדירה של העברת נתונים במסע פרסום חדש של RemcosRAT

שחקן איומים הידוע כמי שמכוון שוב ושוב לארגונים באוקראינה עם כלי המעקב והבקרה מרחוק RemcosRAT חוזר אליו שוב, הפעם עם טקטיקה חדשה להעברת נתונים מבלי להפעיל מערכות זיהוי ותגובה של נקודות קצה.

היריב, במעקב כ-UNC-0050, מתמקד בישויות ממשלתיות אוקראיניות בקמפיין האחרון שלו. חוקרים ב-Uptycs שהבחינו בו אמרו כי ייתכן שהתקיפות נובעות ממניעים פוליטיים, במטרה לאסוף מידע מודיעיני ספציפי מסוכנויות ממשלתיות אוקראיניות. "בעוד שהאפשרות של חסות מדינה נותרה ספקולטיבית, פעילות הקבוצה מהווה סיכון שאין להכחיש, במיוחד למגזרים ממשלתיים הנשענים על מערכות Windows", חוקרי Uptycs Karthickkumar Kathiresan ו-Shilpesh Trivedi כתב השבוע בדוח.

איום RemcosRAT

שחקני איום השתמשו RemcosRAT - שהתחיל את החיים ככלי לגיטימי לניהול מרחוק - לשלוט במערכות שנפגעו לפחות מאז 2016. בין היתר, הכלי מאפשר לתוקפים לאסוף ולחלץ מידע על מערכת, משתמש ומעבד. זה יכול לעקוף כלי זיהוי רבים של אנטי וירוס ונקודות קצה ומבצעים מגוון פקודות בדלת אחורית. במקרים רבים, גורמי איומים הפיצו את התוכנה הזדונית בקבצים מצורפים בדוא"ל דיוג.

Uptycs עדיין לא הצליחה לקבוע את וקטור ההתקפה הראשוני במסע הפרסום האחרון, אך אמרה כי היא נוטה לכיוון התחזות והודעות דואר זבל בנושא עבודה, ככל הנראה שיטת הפצת תוכנות זדוניות. ספקית האבטחה ביססה את הערכותיה על אימיילים שבדקה, שהתיימרו להציע אנשי צבא אוקראינים ממוקדים עם תפקידי ייעוץ בצבא ההגנה של ישראל.

שרשרת ההדבקה עצמה מתחילה בקובץ .lnk שאוסף מידע על המערכת שנפרצה ולאחר מכן מאחזר אפליקציית HTML בשם 6.hta משרת מרוחק הנשלט על ידי תוקף באמצעות קובץ בינארי מקורי של Windows, אמר Uptycs. האפליקציה שאוחזרה מכילה סקריפט PowerShell שמתחיל שלבים להורדת שני קבצי מטען אחרים (word_update.exe ו-ofer.docx) מדומיין נשלט על ידי תוקף ובסופו של דבר להתקנת RemcosRAT במערכת.

טקטיקה קצת נדירה

מה שמייחד את הקמפיין החדש של UNC-0050 הוא השימוש של שחקן האיום ב-a תקשורת בין-תהליכים של Windows תכונה הנקראת צינורות אנונימיים להעברת נתונים על מערכות שנפגעו. כפי שמתארת ​​זאת מיקרוסופט, צינור אנונימי הוא ערוץ תקשורת חד כיווני להעברת נתונים בין תהליך הורה לילד. UNC-0050 מנצל את התכונה כדי לתעל נתונים סמוי מבלי להפעיל התראות EDR או אנטי וירוס, אמרו Kathiresan ו-Trivedi.

UNC-0050 אינו שחקן האיום הראשון שמשתמש בצינורות כדי לסנן נתונים גנובים, אך הטקטיקה נותרה נדירה יחסית, ציינו חוקרי Uptycs. "למרות שאינה חדשה לגמרי, הטכניקה הזו מסמנת קפיצת מדרגה משמעותית בתחכום האסטרטגיות של הקבוצה", אמרו.

זו רחוקה מלהיות הפעם הראשונה שבה חוקרי אבטחה הבחינו ב-UAC-0050 מנסה להפיץ את RemcosRAT למטרות באוקראינה. בהזדמנויות מרובות בשנה שעברה, הזהיר צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) מפני קמפיינים של שחקן האיום להפצת הגישה הטרויאנית מרחוק לארגונים במדינה.

האחרון היה א ייעוץ ב-21 בדצמבר 2023, על מסע דיוג המוני הכולל מיילים עם קובץ מצורף שנטען כי הוא חוזה שבו מעורב Kyivstar, אחת מספקיות התקשורת הגדולות באוקראינה. מוקדם יותר בדצמבר, CERT-UA הזהירה מפני אחר הפצה המונית של RemcosRAT מסע פרסום, זה כולל מיילים המתיימרים להיות על "תביעות משפטיות" ו"חובות" המכוונים לארגונים ויחידים באוקראינה ובפולין. המיילים הכילו קובץ מצורף בצורה של קובץ ארכיון או קובץ RAR.

CERT-UA פרסמה התראות דומות בשלוש הזדמנויות אחרות בשנה שעברה, אחת בנובמבר עם אימיילים בנושא זימונים לבית המשפט שימשו ככלי המשלוח הראשוני; אחר, גם בנובמבר, עם מיילים שלכאורה משירות הביטחון של אוקראינה; והראשון בפברואר 2023 על קמפיין אימייל המוני עם קבצים מצורפים שנראה היה קשור לבית משפט מחוזי בקייב.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign