שחקן איומים הידוע כמי שמכוון שוב ושוב לארגונים באוקראינה עם כלי המעקב והבקרה מרחוק RemcosRAT חוזר אליו שוב, הפעם עם טקטיקה חדשה להעברת נתונים מבלי להפעיל מערכות זיהוי ותגובה של נקודות קצה.
היריב, במעקב כ-UNC-0050, מתמקד בישויות ממשלתיות אוקראיניות בקמפיין האחרון שלו. חוקרים ב-Uptycs שהבחינו בו אמרו כי ייתכן שהתקיפות נובעות ממניעים פוליטיים, במטרה לאסוף מידע מודיעיני ספציפי מסוכנויות ממשלתיות אוקראיניות. "בעוד שהאפשרות של חסות מדינה נותרה ספקולטיבית, פעילות הקבוצה מהווה סיכון שאין להכחיש, במיוחד למגזרים ממשלתיים הנשענים על מערכות Windows", חוקרי Uptycs Karthickkumar Kathiresan ו-Shilpesh Trivedi כתב השבוע בדוח.
איום RemcosRAT
שחקני איום השתמשו RemcosRAT - שהתחיל את החיים ככלי לגיטימי לניהול מרחוק - לשלוט במערכות שנפגעו לפחות מאז 2016. בין היתר, הכלי מאפשר לתוקפים לאסוף ולחלץ מידע על מערכת, משתמש ומעבד. זה יכול לעקוף כלי זיהוי רבים של אנטי וירוס ונקודות קצה ומבצעים מגוון פקודות בדלת אחורית. במקרים רבים, גורמי איומים הפיצו את התוכנה הזדונית בקבצים מצורפים בדוא"ל דיוג.
Uptycs עדיין לא הצליחה לקבוע את וקטור ההתקפה הראשוני במסע הפרסום האחרון, אך אמרה כי היא נוטה לכיוון התחזות והודעות דואר זבל בנושא עבודה, ככל הנראה שיטת הפצת תוכנות זדוניות. ספקית האבטחה ביססה את הערכותיה על אימיילים שבדקה, שהתיימרו להציע אנשי צבא אוקראינים ממוקדים עם תפקידי ייעוץ בצבא ההגנה של ישראל.
שרשרת ההדבקה עצמה מתחילה בקובץ .lnk שאוסף מידע על המערכת שנפרצה ולאחר מכן מאחזר אפליקציית HTML בשם 6.hta משרת מרוחק הנשלט על ידי תוקף באמצעות קובץ בינארי מקורי של Windows, אמר Uptycs. האפליקציה שאוחזרה מכילה סקריפט PowerShell שמתחיל שלבים להורדת שני קבצי מטען אחרים (word_update.exe ו-ofer.docx) מדומיין נשלט על ידי תוקף ובסופו של דבר להתקנת RemcosRAT במערכת.
טקטיקה קצת נדירה
מה שמייחד את הקמפיין החדש של UNC-0050 הוא השימוש של שחקן האיום ב-a תקשורת בין-תהליכים של Windows תכונה הנקראת צינורות אנונימיים להעברת נתונים על מערכות שנפגעו. כפי שמתארת זאת מיקרוסופט, צינור אנונימי הוא ערוץ תקשורת חד כיווני להעברת נתונים בין תהליך הורה לילד. UNC-0050 מנצל את התכונה כדי לתעל נתונים סמוי מבלי להפעיל התראות EDR או אנטי וירוס, אמרו Kathiresan ו-Trivedi.
UNC-0050 אינו שחקן האיום הראשון שמשתמש בצינורות כדי לסנן נתונים גנובים, אך הטקטיקה נותרה נדירה יחסית, ציינו חוקרי Uptycs. "למרות שאינה חדשה לגמרי, הטכניקה הזו מסמנת קפיצת מדרגה משמעותית בתחכום האסטרטגיות של הקבוצה", אמרו.
זו רחוקה מלהיות הפעם הראשונה שבה חוקרי אבטחה הבחינו ב-UAC-0050 מנסה להפיץ את RemcosRAT למטרות באוקראינה. בהזדמנויות מרובות בשנה שעברה, הזהיר צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) מפני קמפיינים של שחקן האיום להפצת הגישה הטרויאנית מרחוק לארגונים במדינה.
האחרון היה א ייעוץ ב-21 בדצמבר 2023, על מסע דיוג המוני הכולל מיילים עם קובץ מצורף שנטען כי הוא חוזה שבו מעורב Kyivstar, אחת מספקיות התקשורת הגדולות באוקראינה. מוקדם יותר בדצמבר, CERT-UA הזהירה מפני אחר הפצה המונית של RemcosRAT מסע פרסום, זה כולל מיילים המתיימרים להיות על "תביעות משפטיות" ו"חובות" המכוונים לארגונים ויחידים באוקראינה ובפולין. המיילים הכילו קובץ מצורף בצורה של קובץ ארכיון או קובץ RAR.
CERT-UA פרסמה התראות דומות בשלוש הזדמנויות אחרות בשנה שעברה, אחת בנובמבר עם אימיילים בנושא זימונים לבית המשפט שימשו ככלי המשלוח הראשוני; אחר, גם בנובמבר, עם מיילים שלכאורה משירות הביטחון של אוקראינה; והראשון בפברואר 2023 על קמפיין אימייל המוני עם קבצים מצורפים שנראה היה קשור לבית משפט מחוזי בקייב.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :יש ל
- :הוא
- :לֹא
- 2016
- 2023
- 7
- a
- יכול
- אודות
- גישה
- פעילויות
- שחקנים
- מנהל
- יתרון
- שוב
- סוכנויות
- התראות
- לִכאוֹרָה
- מאפשר
- גם
- למרות
- בין
- an
- ו
- אנונימי
- אחר
- אנטי וירוס
- כל
- האפליקציה
- נראה
- ארכיון
- AS
- הערכות
- המשויך
- At
- לתקוף
- המתקפות
- מנסה
- בחזרה
- דלת אחורית
- מבוסס
- BE
- היה
- להיות
- בֵּין
- אבל
- by
- נקרא
- מבצע
- קמפיינים
- CAN
- שרשרת
- ערוץ
- ילד
- טענות
- איסוף
- תקשורת
- התפשר
- המחשב
- ייעוץ
- הכלול
- מכיל
- חוזה
- לִשְׁלוֹט
- מדינה
- בית דין
- נתונים
- דצמבר
- דֵצֶמבֶּר
- גופי בטחון
- מסירה
- מתאר
- איתור
- לקבוע
- אחר
- לְהָפִיץ
- מופץ
- הפצה
- מחוז
- בית משפט מחוזי
- תחום
- להורדה
- מוקדם יותר
- אמייל
- מיילים
- חירום
- נקודת קצה
- לַחֲלוּטִין
- ישויות
- במיוחד
- לבצע
- רחוק
- מאפיין
- פבואר
- שלח
- קבצים
- ראשון
- firsttime
- מרוכז
- בעד
- כוחות
- טופס
- החל מ-
- ללקט
- מטרה
- ממשלה
- משרדי ממשלה
- גופים ממשלתיים
- קְבוּצָה
- יש
- HTML
- HTTPS
- in
- אנשים
- מידע
- בתחילה
- יוזם
- להתקין
- מוֹדִיעִין
- מעורב
- ישראל
- הפיקו
- IT
- שֶׁלָה
- עצמו
- jpg
- משפט
- רק
- ידוע
- הגדול ביותר
- אחרון
- שנה שעברה
- האחרון
- Leap
- הכי פחות
- לגיטימי
- החיים
- סביר
- עושה
- תוכנות זדוניות
- רב
- מסה
- מאי..
- שיטה
- מיקרוסופט
- צבאי
- רוב
- מוטיבציה
- מספר
- שם
- יליד
- חדש
- ציין
- נוֹבֶמבֶּר
- הזדמנויות
- of
- הַצָעָה
- on
- ONE
- or
- ארגונים
- אחר
- כוח אדם
- דיוג
- קמפיין דיוג
- מקטרת
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פולין
- מבחינה פוליטית
- פוזה
- אפשרות
- PowerShell
- תהליך
- מעבד
- ספקים
- נדיר
- לאחרונה
- יחסית
- שְׂרִידִים
- מרחוק
- גישה מרחוק
- שוב ושוב
- לדווח
- חוקרים
- תגובה
- סקר
- הסיכון
- תפקידים
- s
- אמר
- תסריט
- מגזרים
- אבטחה
- שרת
- שרות
- הגשה
- משמעותי
- דומה
- since
- במידה מסוימת
- תִחכּוּם
- דואר זבל
- ספציפי
- ספֵּקוּלָטִיבִי
- חָסוּת
- החל
- מדינה
- צעדים
- גָנוּב
- אסטרטגיות
- מעקב
- מערכת
- מערכות
- נטילת
- ממוקד
- מיקוד
- מטרות
- נבחרת
- טכניקה
- התקשורת
- זֶה
- השמיים
- אז
- הֵם
- דברים
- זֶה
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- זמן
- ל
- כלי
- כלים
- לקראת
- להעביר
- מעביר
- מפעילה
- טרויאני
- שתיים
- אוקראינה
- אוקראיני
- בסופו של דבר
- לֹא מוּטָל בְּסֶפֶק
- להשתמש
- משתמש
- באמצעות
- מגוון
- רכב
- מוכר
- מוזהר
- היה
- אשר
- בזמן
- מי
- חלונות
- עם
- לְלֹא
- שנה
- עוד
- זפירנט