新しい RemcosRAT キャンペーンでレア データ転送戦術を使用する脅威グループ

RemcosRAT リモート監視および制御ツールを使用してウクライナの組織を繰り返し標的にしたことで知られる攻撃者が再び攻撃を仕掛けてきました。今回は、エンドポイントの検出および応答システムを起動せずにデータを転送するための新しい戦術を使用しています。

UNC-0050として追跡されるこの敵は、最新のキャンペーンでウクライナ政府機関に焦点を当てています。これを発見したUptycsの研究者らは、この攻撃は政治的動機に基づくものであり、ウクライナ政府機関から特定の情報を収集することを目的としている可能性があると述べた。 「国家の後援の可能性は依然として推測の域を出ませんが、このグループの活動は、特に Windows システムに依存している政府部門にとって、否定できないリスクをもたらします」と Uptycs 研究者の Karthickkumar Kathiresan 氏と Shilpesh Trivedi 氏は述べています。 今週のレポートに書きました.

RemcosRAT の脅威

脅威アクターが使用しているのは、 RemcosRAT このツールは、少なくとも 2016 年以降、侵害されたシステムを制御するための正規のリモート管理ツールとして誕生しました。とりわけ、このツールを使用すると、攻撃者はシステム、ユーザー、およびプロセッサの情報を収集し、漏洩することができます。できる 多くのウイルス対策ツールやエンドポイント脅威検出ツールを使用し、さまざまなバックドア コマンドを実行します。多くの場合、攻撃者はフィッシングメールの添付ファイルとしてマルウェアを配布しています。

Uptycs は、最新のキャンペーンにおける最初の攻撃ベクトルをまだ特定できていませんが、マルウェアの配布方法である可能性が最も高いため、仕事をテーマにしたフィッシングメールやスパムメールに傾いていると述べました。このセキュリティ ベンダーは、対象となるウクライナ軍人にイスラエル国防軍のコンサルタント職を提供すると称する電子メールを調査し、その評価に基づいています。

Uptycsによると、感染チェーン自体は、侵害されたシステムに関する情報を収集する.lnkファイルから始まり、攻撃者が制御するリモートサーバーからWindowsネイティブバイナリを使用して6.htaという名前のHTMLアプリを取得するという。取得されたアプリには、攻撃者が制御するドメインから他の XNUMX つのペイロード ファイル (word_update.exe と ofer.docx) をダウンロードし、最終的には RemcosRAT をシステムにインストールする手順を開始する PowerShell スクリプトが含まれています。

ちょっと珍しい戦術

UNC-0050 の新しいキャンペーンが他と異なるのは、攻撃者が Windowsのプロセス間通信 侵害されたシステム上でデータを転送するための匿名パイプと呼ばれる機能。 Microsoft が説明しているように、匿名パイプは、親プロセスと子プロセスの間でデータを転送するための一方向の通信チャネルです。 Kathiresan 氏と Trivedi 氏によると、UNC-0050 はこの機能を利用して、EDR やウイルス対策アラートをトリガーせずに秘密裏にデータを送信しているとのことです。

UNC-0050 は、パイプを使用して盗んだデータを持ち出す最初の攻撃者ではありませんが、この戦術は依然として比較的まれであると Uptycs の研究者は指摘しています。 「まったく新しいわけではないが、この手法はグループの戦略の洗練における大きな進歩を示すものである」と彼らは述べた。

セキュリティ研究者がウクライナのターゲットに RemcosRAT を配布しようとする UAC-0050 を発見したのはこれが初めてではありません。ウクライナのコンピュータ緊急対応チーム (CERT-UA) は昨年、リモート アクセス トロイの木馬を国内の組織に配布する攻撃者によるキャンペーンについて何度も警告しました。

最も最近のものは、 21 年 2023 月 XNUMX 日の勧告、ウクライナ最大の電気通信プロバイダーの 1 つである Kyivstar が関係する契約を装った添付ファイル付き電子メールを含む大規模なフィッシング キャンペーンについて。 12 月初旬、CERT-UA は別の警告を発しました。 RemcosRATの質量分布 このキャンペーンには、ウクライナとポーランドの組織や個人を標的とした「司法上の請求」や「負債」に関するものを装った電子メールが含まれていました。電子メールには、アーカイブ ファイルまたは RAR ファイルの形式の添付ファイルが含まれていました。

CERT-UA は昨年、他の 2023 回同様の警告を発し、そのうちの XNUMX 回は XNUMX 月に、裁判所の召喚状をテーマにした電子メールが最初の配信手段として機能しました。もうXNUMX件は同じくXNUMX月に、ウクライナの治安機関からのものとされる電子メールだった。 XNUMX件目はXNUMX年XNUMX月で、キエフの地方裁判所に関連していると思われる添付ファイル付きの大量電子メールキャンペーンに関するものでした。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign