Grupa zagrożeń wykorzystująca rzadką taktykę przesyłania danych w nowej kampanii RemcosRAT

Podmiot zagrażający znany z wielokrotnego atakowania organizacji na Ukrainie za pomocą narzędzia do zdalnego nadzoru i kontroli RemcosRAT powraca ponownie, tym razem z nową taktyką przesyłania danych bez uruchamiania systemów wykrywania i reagowania w punktach końcowych.

W swojej najnowszej kampanii przeciwnik, oznaczony jako UNC-0050, koncentruje się na ukraińskich podmiotach rządowych. Badacze z Uptycs, którzy to zauważyli, stwierdzili, że ataki mogą być motywowane politycznie i mieć na celu zebranie konkretnych danych wywiadowczych od ukraińskich agencji rządowych. „Chociaż możliwość sponsorowania przez państwo ma charakter spekulacyjny, działalność grupy stwarza niezaprzeczalne ryzyko, szczególnie dla sektorów rządowych zależnych od systemów Windows” – badacze Uptycs Karthickkumar Kathiresan i Shilpesh Trivedi – napisano w raporcie z tego tygodnia.

Zagrożenie RemcosRAT

Używali ich ugrupowania zagrażające RemcosRAT — które zaczęło działać jako legalne narzędzie do zdalnej administracji — do kontrolowania zaatakowanych systemów co najmniej od 2016 roku. Narzędzie to umożliwia między innymi zbieranie i wydobywanie informacji o systemie, użytkowniku i procesorze. To może bypass wiele narzędzi antywirusowych i narzędzi do wykrywania zagrożeń dla punktów końcowych oraz wykonuje różnorodne polecenia backdoora. W wielu przypadkach ugrupowania zagrażające rozpowszechniały złośliwe oprogramowanie w załącznikach do wiadomości e-mail phishingowych.

Firma Uptycs nie była jeszcze w stanie określić początkowego wektora ataku w najnowszej kampanii, ale stwierdziła, że ​​skłania się ku phishingowi związanemu z pracą i wiadomościom spamowym jako najprawdopodobniej metodom dystrybucji złośliwego oprogramowania. Dostawca zabezpieczeń oparł swoje oceny na sprawdzonych e-mailach, które rzekomo oferowały wybranemu ukraińskiemu personelowi wojskowemu role doradcze w Siłach Obronnych Izraela.

Sam łańcuch infekcji rozpoczyna się od pliku .lnk, który gromadzi informacje o zaatakowanym systemie, a następnie pobiera aplikację HTML o nazwie 6.hta ze zdalnego serwera kontrolowanego przez osobę atakującą przy użyciu natywnego pliku binarnego systemu Windows – twierdzi Uptycs. Pobrana aplikacja zawiera skrypt PowerShell, który inicjuje kroki mające na celu pobranie dwóch innych plików ładunku (word_update.exe i ofer.docx) z domeny kontrolowanej przez osobę atakującą i – ostatecznie – instalację RemcosRAT w systemie.

Dość rzadka taktyka

Tym, co wyróżnia nową kampanię UNC-0050, jest wykorzystanie przez osobę zagrażającą: Komunikacja między procesami systemu Windows funkcję zwaną anonimowymi potokami do przesyłania danych w zaatakowanych systemach. Jak opisuje to Microsoft, anonimowy potok to jednokierunkowy kanał komunikacyjny służący do przesyłania danych między procesem nadrzędnym i podrzędnym. Kathiresan i Trivedi twierdzą, że UNC-0050 wykorzystuje tę funkcję do ukrytego przesyłania danych bez wyzwalania jakichkolwiek alertów EDR lub programów antywirusowych.

UNC-0050 nie jest pierwszym ugrupowaniem zagrażającym wykorzystującym potoki do wydobywania skradzionych danych, ale badacze Uptycs zauważyli, że taktyka ta pozostaje stosunkowo rzadka. „Chociaż technika ta nie jest całkowicie nowa, oznacza znaczący krok w wyrafinowaniu strategii grupy” – stwierdzili.

Nie jest to pierwszy raz, kiedy badacze bezpieczeństwa zauważyli UAC-0050 próbującego dystrybuować RemcosRAT do celów na Ukrainie. W zeszłym roku ukraiński zespół reagowania na awarie komputerowe (CERT-UA) wielokrotnie ostrzegał przed kampaniami podmiotu zagrażającego mającymi na celu dystrybucję trojana zdalnego dostępu do organizacji w kraju.

Najnowszym był porada z dnia 21 grudnia 2023 r, w sprawie masowej kampanii phishingowej obejmującej wiadomości e-mail z załącznikiem rzekomo stanowiącym umowę z firmą Kyivstar, jednym z największych ukraińskich dostawców usług telekomunikacyjnych. Na początku grudnia CERT-UA ostrzegał przed kolejnym Rozkład masy RemcosRAT kampania, obejmująca e-maile rzekomo dotyczące „roszczeo sądowych” i „długów”, skierowana do organizacji i osób prywatnych na Ukrainie i w Polsce. Do e-maili dołączony był załącznik w postaci pliku archiwalnego lub pliku RAR.

W zeszłym roku CERT-UA wydał podobne alerty trzykrotnie, z czego jeden w listopadzie, a pierwszym narzędziem dostawy były e-maile z motywem wezwań sądowych; kolejny, także w listopadzie, z e-mailami rzekomo od służb bezpieczeństwa Ukrainy; oraz pierwsza z lutego 2023 r. dotycząca masowej kampanii e-mailowej z załącznikami, które najprawdopodobniej kojarzą się z sądem rejonowym w Kijowie.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign