새로운 RemcosRAT 캠페인에서 희귀한 데이터 전송 전술을 사용하는 위협 그룹

RemcosRAT 원격 감시 및 제어 도구를 사용하여 우크라이나의 조직을 반복적으로 표적으로 삼는 것으로 알려진 위협 행위자가 이번에는 엔드포인트 탐지 및 대응 시스템을 트리거하지 않고 데이터를 전송하는 새로운 전술을 사용하여 다시 돌아왔습니다.

UNC-0050으로 추적되는 공격자는 최근 캠페인에서 우크라이나 정부 기관에 초점을 맞추고 있습니다. 이를 발견한 Uptycs 연구원들은 이번 공격이 우크라이나 정부 기관으로부터 특정 정보를 수집하려는 목적으로 정치적인 동기를 갖고 있을 수 있다고 말했습니다. Uptycs 연구원 Karthickkumar Kathiresan과 Shilpesh Trivedi는 "국가 후원 가능성은 아직 추측에 불과하지만 그룹의 활동은 특히 Windows 시스템에 의존하는 정부 부문에 부인할 수 없는 위험을 초래합니다"라고 말했습니다. 이번주에 보고서에 썼어.

RemcosRAT 위협

위협 행위자들이 사용하고 있는 렘코스RAT — 적어도 2016년부터 손상된 시스템을 제어하기 위해 합법적인 원격 관리 도구로 시작되었습니다. 무엇보다도 이 도구를 사용하면 공격자가 시스템, 사용자 및 프로세서 정보를 수집하고 유출할 수 있습니다. 그것은 할 수 있다 우회로 다양한 바이러스 백신 및 엔드포인트 위협 탐지 도구를 사용하고 다양한 백도어 명령을 실행합니다. 많은 경우 위협 행위자는 피싱 이메일의 첨부 파일로 악성 코드를 배포했습니다.

Uptycs는 아직 최신 캠페인에서 초기 공격 벡터를 결정할 수 없었지만 악성코드 배포 방법일 가능성이 가장 높은 직업 테마의 피싱 및 스팸 이메일에 기울고 있다고 밝혔습니다. 보안 공급업체는 대상 우크라이나 군인에게 이스라엘 국방군에서 컨설팅 역할을 제공한다고 주장하는 이메일을 검토한 후 평가를 기반으로 했습니다.

감염 체인 자체는 손상된 시스템에 대한 정보를 수집한 다음 Windows 기본 바이너리를 사용하여 공격자가 제어하는 ​​원격 서버에서 6.hta라는 HTML 앱을 검색하는 .lnk 파일로 시작된다고 Uptycs는 말했습니다. 검색된 앱에는 공격자가 제어하는 ​​도메인에서 두 개의 다른 페이로드 파일(word_update.exe 및 ofer.docx)을 다운로드하고 궁극적으로 시스템에 RemcosRAT를 설치하는 단계를 시작하는 PowerShell 스크립트가 포함되어 있습니다.

다소 드문 전술

UNC-0050의 새로운 캠페인이 다른 점은 위협 행위자가 다음을 사용한다는 것입니다. Windows 프로세스 간 통신 손상된 시스템에서 데이터를 전송하는 익명 파이프라는 기능입니다. Microsoft가 설명하는 것처럼 익명 파이프는 상위 프로세스와 하위 프로세스 간에 데이터를 전송하기 위한 단방향 통신 채널입니다. UNC-0050은 EDR이나 바이러스 백신 경고를 발생시키지 않고 은밀하게 데이터를 전달하는 기능을 활용하고 있다고 Kathiresan과 Trivedi는 말했습니다.

UNC-0050은 훔친 데이터를 유출하기 위해 파이프를 사용하는 최초의 위협 행위자는 아니지만 이러한 전술은 비교적 드물다고 Uptycs 연구원들은 지적했습니다. “완전히 새로운 것은 아니지만 이 기술은 그룹 전략의 정교함에 있어 상당한 도약을 의미합니다.”라고 그들은 말했습니다.

보안 연구원들이 UAC-0050이 RemcosRAT를 우크라이나의 대상에 배포하려고 시도하는 것을 발견한 것은 이번이 처음이 아닙니다. 작년에 우크라이나의 컴퓨터 비상 대응 팀(CERT-UA)은 위협 행위자가 국가 내 조직에 원격 액세스 트로이 목마를 배포하려는 캠페인에 대해 여러 차례 경고했습니다.

가장 최근에는 21년 2023월 XNUMX일 주의보, 우크라이나 최대 통신 제공업체 중 하나인 Kyivstar와 관련된 계약으로 추정되는 첨부 파일이 포함된 이메일과 관련된 대규모 피싱 캠페인에 대해 설명합니다. 12월 초 CERT-UA는 또 다른 경고를 했습니다. RemcosRAT 대량 배포 이 캠페인은 우크라이나와 폴란드의 조직과 개인을 대상으로 '사법적 청구' 및 '부채'에 관한 이메일을 포함하고 있습니다. 이메일에는 아카이브 파일 또는 RAR 파일 형식의 첨부 파일이 포함되어 있습니다.

CERT-UA는 작년에 세 번이나 비슷한 경고를 발령했는데, 한 번은 법원 소환장을 주제로 한 이메일을 초기 전달 수단으로 사용했습니다. 또 다른 하나는 2023월에 우크라이나 보안 기관에서 보낸 것으로 추정되는 이메일과 함께 있었습니다. XNUMX년 XNUMX월 첫 번째는 키예프 지방 법원과 관련된 것으로 보이는 첨부 파일이 포함된 대량 이메일 캠페인에 관한 것입니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign