Um ator de ameaça conhecido por atacar repetidamente organizações na Ucrânia com a ferramenta de vigilância e controle remoto RemcosRAT está de volta, desta vez com uma nova tática para transferir dados sem acionar sistemas de detecção e resposta de endpoint.
O adversário, identificado como UNC-0050, está focado nas entidades governamentais ucranianas na sua última campanha. Os investigadores da Uptycs que o detectaram disseram que os ataques podem ter motivação política, com o objectivo de recolher informações específicas de agências governamentais ucranianas. “Embora a possibilidade de patrocínio estatal permaneça especulativa, as atividades do grupo representam um risco inegável, especialmente para os setores governamentais que dependem de sistemas Windows”, disseram os pesquisadores da Uptycs, Karthickkumar Kathiresan e Shilpesh Trivedi. escreveu em um relatório esta semana.
A ameaça RemcosRAT
Os atores da ameaça têm usado RemcosRAT – que começou como uma ferramenta legítima de administração remota – para controlar sistemas comprometidos desde pelo menos 2016. Entre outras coisas, a ferramenta permite que invasores coletem e exfiltrem informações do sistema, do usuário e do processador. Pode ignorar muitas ferramentas antivírus e de detecção de ameaças de endpoint e executa uma variedade de comandos backdoor. Em muitos casos, os agentes de ameaças distribuíram o malware em anexos de e-mails de phishing.
A Uptycs ainda não foi capaz de determinar o vetor de ataque inicial na campanha mais recente, mas disse que está se inclinando para e-mails de phishing e spam com tema de trabalho, provavelmente sendo o método de distribuição de malware. O fornecedor de segurança baseou as suas avaliações em e-mails que analisou, que pretendiam oferecer ao pessoal militar ucraniano alvo funções de consultoria nas Forças de Defesa de Israel.
A própria cadeia de infecção começa com um arquivo .lnk que coleta informações sobre o sistema comprometido e, em seguida, recupera um aplicativo HTML chamado 6.hta de um servidor remoto controlado pelo invasor usando um binário nativo do Windows, disse Uptycs. O aplicativo recuperado contém um script do PowerShell que inicia etapas para baixar dois outros arquivos de carga útil (word_update.exe e ofer.docx) de um domínio controlado pelo invasor e – em última análise – para instalar o RemcosRAT no sistema.
Uma tática um tanto rara
O que torna a nova campanha do UNC-0050 diferente é o uso pelo agente da ameaça de um Comunicações entre processos do Windows recurso chamado pipes anônimos para transferir dados em sistemas comprometidos. Conforme descrito pela Microsoft, um canal anônimo é um canal de comunicação unidirecional para transferência de dados entre um processo pai e um processo filho. UNC-0050 está aproveitando o recurso para canalizar dados secretamente sem acionar nenhum alerta EDR ou antivírus, disseram Kathiresan e Trivedi.
O UNC-0050 não é o primeiro agente de ameaça a usar canais para exfiltrar dados roubados, mas a tática permanece relativamente rara, observaram os pesquisadores da Uptycs. “Embora não seja totalmente nova, esta técnica marca um salto significativo na sofisticação das estratégias do grupo”, afirmaram.
Esta está longe de ser a primeira vez que pesquisadores de segurança detectaram o UAC-0050 tentando distribuir RemcosRAT para alvos na Ucrânia. Em várias ocasiões no ano passado, a Equipa de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) alertou sobre campanhas do agente da ameaça para distribuir o Trojan de acesso remoto a organizações no país.
O mais recente foi um comunicado em 21 de dezembro de 2023, sobre uma campanha de phishing em massa envolvendo e-mails com um anexo que supostamente era um contrato envolvendo a Kyivstar, um dos maiores provedores de telecomunicações da Ucrânia. No início de Dezembro, o CERT-UA alertou para outra Distribuição em massa RemcosRAT campanha, esta envolvendo e-mails que pretendem ser sobre “reivindicações judiciais” e “dívidas” dirigidas a organizações e indivíduos na Ucrânia e na Polónia. Os e-mails continham um anexo na forma de um arquivo compactado ou arquivo RAR.
O CERT-UA emitiu alertas semelhantes em três outras ocasiões no ano passado, um em novembro, com e-mails com tema de intimação judicial servindo como veículo de entrega inicial; outro, também em novembro, com e-mails supostamente provenientes do serviço de segurança da Ucrânia; e a primeira, em fevereiro de 2023, sobre uma campanha em massa por e-mail com anexos que parecia estar associada a um tribunal distrital de Kiev.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :tem
- :é
- :não
- 2016
- 2023
- 7
- a
- Capaz
- Sobre
- Acesso
- atividades
- atores
- administração
- Vantagem
- novamente
- agências
- Alertas
- alegadamente
- permite
- tb
- Apesar
- entre
- an
- e
- Anônimo
- Outro
- antivirus
- qualquer
- app
- apareceu
- arquivo
- AS
- avaliações
- associado
- At
- ataque
- Ataques
- tentando
- em caminho duplo
- Porta dos fundos
- baseado
- BE
- sido
- ser
- entre
- mas a
- by
- chamado
- Campanha
- Campanhas
- CAN
- cadeia
- Canal
- criança
- reivindicações
- Coleta
- Comunicações
- Comprometido
- computador
- consultoria
- contida
- contém
- contract
- ao controle
- país
- Tribunal de
- dados,
- dezembro
- Dezembro
- Defesa
- Entrega
- descreve
- Detecção
- Determinar
- diferente
- distribuir
- distribuído
- distribuição
- distrito
- tribunal distrital
- domínio
- download
- Mais cedo
- e-mails
- kit
- Ponto final
- inteiramente
- entidades
- especialmente
- executar
- longe
- Característica
- Fevereiro
- Envie o
- Arquivos
- Primeiro nome
- primeira vez
- focado
- Escolha
- Forças
- formulário
- da
- reunir
- meta
- Governo
- agências governamentais
- Entidades Governamentais
- Grupo
- Ter
- HTML
- HTTPS
- in
- indivíduos
- INFORMAÇÕES
- do estado inicial,
- Inicia
- instalar
- Inteligência
- envolvendo
- Israel
- Emitido
- IT
- ESTÁ
- se
- jpg
- judicial
- apenas por
- conhecido
- maior
- Sobrenome
- Ano passado
- mais recente
- Saltar
- mínimo
- legítimo
- vida
- Provável
- FAZ
- malwares
- muitos
- Massa
- Posso..
- método
- Microsoft
- Militar
- a maioria
- motivados
- múltiplo
- Nomeado
- nativo
- Novo
- notado
- Novembro
- ocasiões
- of
- oferecer
- on
- ONE
- or
- organizações
- Outros
- Pessoal
- Phishing
- campanha de phishing
- tubo
- platão
- Inteligência de Dados Platão
- PlatãoData
- Polônia
- politicamente
- pose
- possibilidade
- PowerShell
- processo
- Subcontratante
- fornecedores
- RARO
- recentemente
- relativamente
- permanece
- remoto
- acesso remoto
- REPETIDAMENTE
- Denunciar
- pesquisadores
- resposta
- Comentários
- Risco
- papéis
- s
- Dito
- escrita
- Setores
- segurança
- servidor
- serviço
- de servir
- periodo
- semelhante
- desde
- um pouco
- sofisticação
- Spam
- específico
- especulativo
- de patrocínio
- começado
- Estado
- Passos
- roubado
- estratégias
- vigilância
- .
- sistemas
- tomar
- visadas
- alvejando
- tem como alvo
- Profissionais
- técnica
- telecomunicações
- que
- A
- então
- deles
- coisas
- isto
- ameaça
- atores de ameaças
- três
- tempo
- para
- ferramenta
- ferramentas
- para
- transferência
- Transferir
- desencadeando
- troiano
- dois
- Ucrânia
- Ucraniano
- Em última análise
- inegável
- usar
- Utilizador
- utilização
- variedade
- veículo
- fornecedor
- advertido
- foi
- qual
- enquanto
- QUEM
- Windows
- de
- sem
- ano
- ainda
- zefirnet
