Trusselgruppe som bruker sjeldne dataoverføringstaktikker i ny RemcosRAT-kampanje

En trusselaktør kjent for gjentatte ganger å målrette organisasjoner i Ukraina med RemcosRAT fjernovervåkings- og kontrollverktøy er tilbake på det igjen, denne gangen med en ny taktikk for å overføre data uten å utløse endepunktdeteksjons- og responssystemer.

Motstanderen, sporet som UNC-0050, er fokusert på ukrainske myndigheter i sin siste kampanje. Forskere ved Uptycs som så det sa at angrepene kan være politisk motiverte, med mål om å samle inn spesifikk etterretning fra ukrainske myndigheter. "Selv om muligheten for statlig sponsing fortsatt er spekulativ, utgjør gruppens aktiviteter en ubestridelig risiko, spesielt for offentlige sektorer som er avhengige av Windows-systemer," Uptycs-forskere Karthickkumar Kathiresan og Shilpesh Trivedi skrev i en rapport denne uken.

RemcosRAT-trusselen

Trusselaktører har brukt RemcosRAT — som startet livet som et legitimt fjernadministrasjonsverktøy — for å kontrollere kompromitterte systemer siden minst 2016. Verktøyet lar blant annet angripere samle og eksfiltrere system-, bruker- og prosessorinformasjon. Det kan bypass mange antivirus- og endepunktstrusseldeteksjonsverktøy og utfører en rekke bakdørskommandoer. I mange tilfeller har trusselaktører distribuert skadelig programvare i vedlegg i phishing-e-poster.

Uptycs har ikke vært i stand til å fastslå den første angrepsvektoren i den siste kampanjen ennå, men sa at den lener seg mot jobbtema phishing og spam-e-poster som mest sannsynlig er distribusjonsmetoden for skadelig programvare. Sikkerhetsleverandøren baserte sine vurderinger på e-poster den gjennomgikk som påsto å tilby målrettet ukrainsk militærpersonell med konsulentroller ved Israels forsvarsstyrker.

Selve infeksjonskjeden begynner med en .lnk-fil som samler informasjon om det kompromitterte systemet og deretter henter en HTML-app kalt 6.hta fra en angriperkontrollert ekstern server ved å bruke en Windows-innfødt binærfil, sa Uptycs. Den hentede appen inneholder et PowerShell-skript som starter trinn for å laste ned to andre nyttelastfiler (word_update.exe og ofer.docx) fra et angriperkontrollert domene og – til slutt – for å installere RemcosRAT på systemet.

En litt sjelden taktikk

Det som gjør UNC-0050s nye kampanje annerledes, er trusselaktørens bruk av en Windows interprosesskommunikasjon funksjon kalt anonyme rør for å overføre data på kompromitterte systemer. Som Microsoft beskriver det, er en anonym pipe en enveis kommunikasjonskanal for overføring av data mellom en forelder og en underordnet prosess. UNC-0050 drar nytte av funksjonen til skjult kanalisering av data uten å utløse noen EDR- eller antivirusvarsler, sa Kathiresan og Trivedi.

UNC-0050 er ikke den første trusselaktøren som bruker rør for å eksfiltrere stjålne data, men taktikken er fortsatt relativt sjelden, bemerket Uptycs-forskerne. "Selv om den ikke er helt ny, markerer denne teknikken et betydelig sprang i sofistikeringen av gruppens strategier," sa de.

Dette er langt fra første gang at sikkerhetsforskere har sett UAC-0050 forsøke å distribuere RemcosRAT til mål i Ukraina. Ved flere anledninger i fjor advarte Ukrainas Computer Emergency Response Team (CERT-UA) om kampanjer fra trusselaktøren for å distribuere fjerntilgangstrojaneren til organisasjoner i landet.

Den siste var en rådgivende 21. desember 2023, om en masse phishing-kampanje som involverer e-poster med et vedlegg som påstås å være en kontrakt som involverer Kyivstar, en av Ukrainas største telekommunikasjonsleverandører. Tidligere i desember advarte CERT-UA om en annen RemcosRAT massedistribusjon kampanje, denne involverer e-poster som utgir seg for å handle om "rettslige krav" og "gjeld" rettet mot organisasjoner og enkeltpersoner i Ukraina og Polen. E-postene inneholdt et vedlegg i form av en arkivfil eller RAR-fil.

CERT-UA utstedte lignende varsler ved tre andre anledninger i fjor, en i november med e-poster med rettsstevningstema som den første leveringsbilen; en annen, også i november, med e-poster angivelig fra Ukrainas sikkerhetstjeneste; og den første i februar 2023 om en massee-postkampanje med vedlegg som så ut til å være knyttet til en tingrett i Kiev.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign