RemcosRAT リモート監視および制御ツールを使用してウクライナの組織を繰り返し標的にしたことで知られる攻撃者が再び攻撃を仕掛けてきました。今回は、エンドポイントの検出および応答システムを起動せずにデータを転送するための新しい戦術を使用しています。
UNC-0050として追跡されるこの敵は、最新のキャンペーンでウクライナ政府機関に焦点を当てています。これを発見したUptycsの研究者らは、この攻撃は政治的動機に基づくものであり、ウクライナ政府機関から特定の情報を収集することを目的としている可能性があると述べた。 「国家の後援の可能性は依然として推測の域を出ませんが、このグループの活動は、特に Windows システムに依存している政府部門にとって、否定できないリスクをもたらします」と Uptycs 研究者の Karthickkumar Kathiresan 氏と Shilpesh Trivedi 氏は述べています。 今週のレポートに書きました.
RemcosRAT の脅威
脅威アクターが使用しているのは、 RemcosRAT このツールは、少なくとも 2016 年以降、侵害されたシステムを制御するための正規のリモート管理ツールとして誕生しました。とりわけ、このツールを使用すると、攻撃者はシステム、ユーザー、およびプロセッサの情報を収集し、漏洩することができます。できる 多くのウイルス対策ツールやエンドポイント脅威検出ツールを使用し、さまざまなバックドア コマンドを実行します。多くの場合、攻撃者はフィッシングメールの添付ファイルとしてマルウェアを配布しています。
Uptycs は、最新のキャンペーンにおける最初の攻撃ベクトルをまだ特定できていませんが、マルウェアの配布方法である可能性が最も高いため、仕事をテーマにしたフィッシングメールやスパムメールに傾いていると述べました。このセキュリティ ベンダーは、対象となるウクライナ軍人にイスラエル国防軍のコンサルタント職を提供すると称する電子メールを調査し、その評価に基づいています。
Uptycsによると、感染チェーン自体は、侵害されたシステムに関する情報を収集する.lnkファイルから始まり、攻撃者が制御するリモートサーバーからWindowsネイティブバイナリを使用して6.htaという名前のHTMLアプリを取得するという。取得されたアプリには、攻撃者が制御するドメインから他の XNUMX つのペイロード ファイル (word_update.exe と ofer.docx) をダウンロードし、最終的には RemcosRAT をシステムにインストールする手順を開始する PowerShell スクリプトが含まれています。
ちょっと珍しい戦術
UNC-0050 の新しいキャンペーンが他と異なるのは、攻撃者が Windowsのプロセス間通信 侵害されたシステム上でデータを転送するための匿名パイプと呼ばれる機能。 Microsoft が説明しているように、匿名パイプは、親プロセスと子プロセスの間でデータを転送するための一方向の通信チャネルです。 Kathiresan 氏と Trivedi 氏によると、UNC-0050 はこの機能を利用して、EDR やウイルス対策アラートをトリガーせずに秘密裏にデータを送信しているとのことです。
UNC-0050 は、パイプを使用して盗んだデータを持ち出す最初の攻撃者ではありませんが、この戦術は依然として比較的まれであると Uptycs の研究者は指摘しています。 「まったく新しいわけではないが、この手法はグループの戦略の洗練における大きな進歩を示すものである」と彼らは述べた。
セキュリティ研究者がウクライナのターゲットに RemcosRAT を配布しようとする UAC-0050 を発見したのはこれが初めてではありません。ウクライナのコンピュータ緊急対応チーム (CERT-UA) は昨年、リモート アクセス トロイの木馬を国内の組織に配布する攻撃者によるキャンペーンについて何度も警告しました。
最も最近のものは、 21 年 2023 月 XNUMX 日の勧告、ウクライナ最大の電気通信プロバイダーの 1 つである Kyivstar が関係する契約を装った添付ファイル付き電子メールを含む大規模なフィッシング キャンペーンについて。 12 月初旬、CERT-UA は別の警告を発しました。 RemcosRATの質量分布 このキャンペーンには、ウクライナとポーランドの組織や個人を標的とした「司法上の請求」や「負債」に関するものを装った電子メールが含まれていました。電子メールには、アーカイブ ファイルまたは RAR ファイルの形式の添付ファイルが含まれていました。
CERT-UA は昨年、他の 2023 回同様の警告を発し、そのうちの XNUMX 回は XNUMX 月に、裁判所の召喚状をテーマにした電子メールが最初の配信手段として機能しました。もうXNUMX件は同じくXNUMX月に、ウクライナの治安機関からのものとされる電子メールだった。 XNUMX件目はXNUMX年XNUMX月で、キエフの地方裁判所に関連していると思われる添付ファイル付きの大量電子メールキャンペーンに関するものでした。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :持っている
- :は
- :not
- 2016
- 2023
- 7
- a
- できる
- 私たちについて
- アクセス
- 活動
- 俳優
- 管理
- 利点
- 再び
- 機関
- アラート
- 容疑者
- ことができます
- また
- しかし
- 間で
- an
- および
- 匿名の
- 別の
- アンチウイルス
- どれか
- アプリ
- 登場
- Archive
- AS
- アセスメント
- 関連する
- At
- 攻撃
- 攻撃
- 試みる
- バック
- 裏口
- ベース
- BE
- き
- さ
- の間に
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- キャンペーン
- キャンペーン
- 缶
- チェーン
- チャネル
- 子
- クレーム
- 収集
- 通信部
- 損害を受けた
- コンピュータ
- コンサルタント業
- 含まれている
- 含まれています
- 縮小することはできません。
- コントロール
- 国
- 裁判所
- データ
- 12月
- 12月
- 防衛
- 配達
- 説明する
- 検出
- 決定する
- 異なります
- 分配します
- 配布
- ディストリビューション
- 地区
- 地方裁判所
- ドメイン
- ダウンロード
- 前
- メール
- 緊急事態
- エンドポイント
- 完全に
- エンティティ
- 特に
- 実行します
- 遠く
- 特徴
- 2月
- File
- 名
- 初回
- 焦点を当て
- 軍隊
- フォーム
- から
- 集める
- 目標
- 政府・公共機関
- 政府機関
- 政府機関
- グループ
- 持ってる
- HTML
- HTTPS
- in
- 個人
- 情報
- 初期
- 開始する
- install
- インテリジェンス
- 関与
- イスラエル
- 発行済み
- IT
- ITS
- 自体
- JPG
- 司法
- ただ
- 既知の
- 最大の
- 姓
- 昨年
- 最新の
- 跳躍
- 最低
- 正当な
- 生活
- 可能性が高い
- 作る
- マルウェア
- 多くの
- 質量
- 五月..
- 方法
- Microsoft
- ミリタリー用(軍用)機材
- 最も
- やる気
- の試合に
- 名前付き
- ネイティブ
- 新作
- 注意
- 11月
- 機会
- of
- 提供
- on
- ONE
- or
- 組織
- その他
- Personnel
- フィッシング詐欺
- フィッシングキャンペーン
- パイプ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポーランド
- 政治的に
- ポーズ
- 可能性
- PowerShellの
- プロセス
- プロセッサ
- プロバイダ
- 珍しい
- 最近
- 相対的に
- 残っている
- リモート
- リモートアクセス
- 繰り返し
- レポート
- 研究者
- 応答
- 日
- リスク
- 役割
- s
- 前記
- スクリプト
- セクター
- セキュリティ
- サービス
- サービング
- 重要
- 同様の
- から
- 幾分
- 洗練された
- スパム
- 特定の
- 投機的な
- 主催
- 開始
- 都道府県
- ステップ
- 盗まれました
- 作戦
- 監視
- システム
- 取得
- 対象となります
- ターゲット
- ターゲット
- チーム
- 技術
- 電気通信
- それ
- その後
- 彼ら
- 物事
- この
- 脅威
- 脅威アクター
- 三
- 時間
- 〜へ
- ツール
- 豊富なツール群
- に向かって
- 転送
- 転送
- トリガー
- トロイの
- 2
- Ukraine
- ウクライナ語
- 最終的に
- 紛れもない
- つかいます
- ユーザー
- 多様
- 自動車
- ベンダー
- 警告
- ました
- which
- while
- 誰
- ウィンドウズ
- 無し
- 年
- まだ
- ゼファーネット