Un actor de amenințare cunoscut pentru că vizează în mod repetat organizațiile din Ucraina cu instrumentul de supraveghere și control de la distanță RemcosRAT a revenit la el, de data aceasta cu o nouă tactică de transfer de date fără a declanșa sistemele de detectare și răspuns la punctele finale.
Adversarul, urmărit ca UNC-0050, se concentrează asupra entităților guvernamentale ucrainene în ultima sa campanie. Cercetătorii de la Uptycs care au observat-o au spus că atacurile pot fi motivate politic, cu scopul de a colecta informații specifice de la agențiile guvernamentale ucrainene. „În timp ce posibilitatea sponsorizării statului rămâne speculativă, activitățile grupului prezintă un risc incontestabil, în special pentru sectoarele guvernamentale care depind de sistemele Windows”, cercetătorii Uptycs Karthickkumar Kathiresan și Shilpesh Trivedi. a scris într-un raport săptămâna aceasta.
Amenințarea RemcosRAT
Actorii de amenințări au folosit-o RemcosRAT — care a început viața ca un instrument legitim de administrare la distanță — pentru a controla sistemele compromise din 2016. Printre altele, instrumentul permite atacatorilor să adune și să exfiltreze informații despre sistem, utilizator și procesor. Se poate by-pass multe instrumente antivirus și de detectare a amenințărilor terminale și execută o varietate de comenzi backdoor. În multe cazuri, actorii amenințărilor au distribuit malware-ul în atașamente în e-mailurile de phishing.
Uptycs nu a reușit încă să determine vectorul de atac inițial în cea mai recentă campanie, dar a spus că se înclină spre e-mailurile de tip phishing și spam cu tematică de muncă, fiind cel mai probabil metoda de distribuire a malware. Vânzătorul de securitate și-a bazat evaluările pe e-mailurile pe care le-a examinat și care pretindeau să ofere personal militar ucrainean vizat cu roluri de consultanță la Forțele de Apărare ale Israelului.
Lanțul de infecție în sine începe cu un fișier .lnk care adună informații despre sistemul compromis și apoi preia o aplicație HTML numită 6.hta de pe un server la distanță controlat de atacator, folosind un binar nativ Windows, a spus Uptycs. Aplicația preluată conține un script PowerShell care inițiază pași pentru a descărca alte două fișiere de sarcină utilă (word_update.exe și ofer.docx) dintr-un domeniu controlat de atacator și, în cele din urmă, pentru a instala RemcosRAT pe sistem.
O tactică oarecum rară
Ceea ce face diferită noua campanie a lui UNC-0050 este utilizarea de către actorul amenințării a Comunicații între procese Windows caracteristică numită conducte anonime pentru a transfera date pe sisteme compromise. După cum o descrie Microsoft, o conductă anonimă este un canal de comunicație unidirecțională pentru transferul de date între un proces părinte și un proces copil. UNC-0050 profită de această funcție pentru a canaliza în mod secret datele fără a declanșa alerte EDR sau antivirus, au spus Kathiresan și Trivedi.
UNC-0050 nu este primul actor de amenințare care folosește conducte pentru a exfiltra datele furate, dar tactica rămâne relativ rară, au remarcat cercetătorii Uptycs. „Deși nu este complet nouă, această tehnică marchează un salt semnificativ în sofisticarea strategiilor grupului”, au spus ei.
Aceasta este departe de prima dată când cercetătorii de securitate au observat că UAC-0050 încearcă să distribuie RemcosRAT către ținte din Ucraina. În mai multe ocazii, anul trecut, Echipa Ucrainei de Răspuns la Urgență Informatică (CERT-UA) a avertizat cu privire la campaniile actorului de amenințare pentru a distribui troianul de acces la distanță organizațiilor din țară.
Cel mai recent a fost an aviz din 21 decembrie 2023, despre o campanie de phishing în masă care implică e-mailuri cu un atașament care se pretindea a fi un contract care implică Kyivstar, unul dintre cei mai mari furnizori de telecomunicații din Ucraina. La începutul lunii decembrie, CERT-UA a avertizat despre un altul Distribuția de masă RemcosRAT campanie, aceasta implicând e-mailuri care se pretind a fi despre „pretenții judiciare” și „datorii” care vizează organizații și persoane din Ucraina și Polonia. E-mailurile conțineau un atașament sub forma unui fișier de arhivă sau fișier RAR.
CERT-UA a emis alerte similare cu alte trei ocazii anul trecut, una în noiembrie, cu e-mailuri cu tematica citației judecătorești servind ca mijloc de livrare inițial; altul, tot în noiembrie, cu e-mailuri presupuse de la serviciul de securitate al Ucrainei; și prima în februarie 2023 despre o campanie de e-mail în masă cu atașamente care păreau să fie asociate cu o instanță districtuală din Kiev.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :are
- :este
- :nu
- 2016
- 2023
- 7
- a
- Capabil
- Despre Noi
- acces
- activităţi de
- actori
- administrare
- Avantaj
- din nou
- Agențiile
- Alerte
- ar fi
- permite
- de asemenea
- Cu toate ca
- printre
- an
- și
- Anonim
- O alta
- antivirus
- Orice
- aplicaţia
- a apărut
- arhivă
- AS
- evaluări
- asociate
- At
- ataca
- Atacuri
- încercarea
- înapoi
- ușă din dos
- bazat
- BE
- fost
- fiind
- între
- dar
- by
- denumit
- Campanie
- Campanii
- CAN
- lanţ
- Canal
- copil
- creanțe
- Colectare
- Comunicații
- compromis
- calculator
- consultanță
- conținute
- conține
- contract
- Control
- ţară
- Tribunal
- de date
- dec
- decembrie
- Apărare
- livrare
- descrie
- Detectare
- Determina
- diferit
- distribui
- distribuite
- distribuire
- cartier
- Tribunal Judetean
- domeniu
- Descarca
- Mai devreme
- e-mailuri
- caz de urgență
- Punct final
- în întregime
- entități
- mai ales
- a executa
- departe
- Caracteristică
- februarie
- Fișier
- Fişiere
- First
- prima dată
- concentrat
- Pentru
- Forțele
- formă
- din
- aduna
- scop
- Guvern
- agentii guvernamentale
- Entități guvernamentale
- grup
- Avea
- HTML
- HTTPS
- in
- persoane fizice
- informații
- inițială
- Initiaza
- instala
- Inteligență
- implicând
- Israel
- Emis
- IT
- ESTE
- în sine
- jpg
- judiciar
- doar
- cunoscut
- cea mai mare
- Nume
- Anul trecut
- Ultimele
- Salt
- cel mai puțin
- legitim
- Viaţă
- Probabil
- FACE
- malware
- multe
- Masa
- Mai..
- metodă
- Microsoft
- Militar
- cele mai multe
- motivat
- multiplu
- Numit
- nativ
- Nou
- notat
- noiembrie
- ocazii
- of
- oferi
- on
- ONE
- or
- organizații
- Altele
- Personal
- Phishing
- campanie de phishing
- ţeavă
- Plato
- Informații despre date Platon
- PlatoData
- Polonia
- politic
- pune
- posibilitate
- PowerShell
- proces
- procesor
- furnizori
- RAR
- recent
- relativ
- rămășițe
- la distanta
- acces de la distanță
- REPETAT
- raportează
- cercetători
- răspuns
- revizuite
- Risc
- rolurile
- s
- Said
- scenariu
- sectoare
- securitate
- serverul
- serviciu
- servire
- semnificativ
- asemănător
- întrucât
- oarecum
- rafinament
- spam-
- specific
- speculativ
- sponsorizare
- început
- Stat
- paşi
- furate
- strategii
- supraveghere
- sistem
- sisteme
- luare
- vizate
- direcționare
- obiective
- echipă
- tehnică
- de telecomunicaţii
- acea
- apoi
- ei
- lucruri
- acest
- amenințare
- actori amenințători
- trei
- timp
- la
- instrument
- Unelte
- spre
- transfer
- transferare
- declanșând
- troian
- Două
- Ucraina
- ucrainean
- în cele din urmă
- netăgăduit
- utilizare
- Utilizator
- folosind
- varietate
- vehicul
- vânzător
- a avertizat
- a fost
- care
- în timp ce
- OMS
- ferestre
- cu
- fără
- an
- încă
- zephyrnet
