Злоумышленник, известный тем, что неоднократно атаковал организации в Украине с помощью инструмента удаленного наблюдения и контроля RemcosRAT, снова вернулся, на этот раз с новой тактикой передачи данных без запуска систем обнаружения и реагирования на конечных точках.
Противник, отслеживаемый как UNC-0050, в своей последней кампании сосредоточил внимание на украинских правительственных структурах. Исследователи Uptycs, обнаружившие это, заявили, что атаки могут быть политически мотивированными и преследовать цель сбора конкретной разведывательной информации от украинских правительственных учреждений. «Хотя возможность государственного спонсорства остается спекулятивной, деятельность группы представляет неоспоримый риск, особенно для правительственных секторов, зависящих от систем Windows», — исследователи Uptycs Картиккумар Катиресан и Шилпеш Триведи. написал в отчете на этой неделе.
Угроза RemcosRAT
Злоумышленники использовали РемкосРАТ — который начал свою жизнь как законный инструмент удаленного администрирования — для контроля скомпрометированных систем, по крайней мере, с 2016 года. Помимо прочего, этот инструмент позволяет злоумышленникам собирать и похищать информацию о системе, пользователях и процессорах. Он может байпас множество антивирусных инструментов и инструментов обнаружения угроз для конечных точек, а также выполнять различные бэкдорные команды. Во многих случаях злоумышленники распространяли вредоносное ПО в виде вложений в фишинговые электронные письма.
Uptycs пока не удалось определить первоначальный вектор атаки в последней кампании, но заявили, что склоняются к фишинговым и спам-сообщениям на тему работы как наиболее вероятным методам распространения вредоносного ПО. Поставщик средств безопасности основывал свои оценки на рассмотренных им электронных письмах, в которых якобы предлагалось целевым украинским военным консультативные роли в Силах обороны Израиля.
По словам Uptycs, сама цепочка заражения начинается с файла .lnk, который собирает информацию о скомпрометированной системе, а затем извлекает HTML-приложение с именем 6.hta с удаленного сервера, контролируемого злоумышленником, с помощью собственного двоичного файла Windows. Полученное приложение содержит сценарий PowerShell, который инициирует загрузку двух других файлов полезной нагрузки (word_update.exe и ofer.docx) из домена, контролируемого злоумышленником, и, в конечном итоге, установку RemcosRAT в систему.
Несколько редкая тактика
Что отличает новую кампанию UNC-0050, так это использование злоумышленником Межпроцессное взаимодействие Windows функция, называемая анонимными каналами, для передачи данных в скомпрометированных системах. По описанию Microsoft, анонимный канал — это односторонний канал связи для передачи данных между родительским и дочерним процессом. По словам Катиресана и Триведи, UNC-0050 использует эту функцию для скрытой передачи данных без запуска каких-либо EDR или антивирусных предупреждений.
UNC-0050 — не первый злоумышленник, использующий каналы для кражи украденных данных, но такая тактика остается относительно редкой, отмечают исследователи Uptycs. «Хотя этот метод и не является совершенно новым, он знаменует собой значительный скачок в усложнении стратегий группы», — сказали они.
Это далеко не первый случай, когда исследователи безопасности обнаружили попытку UAC-0050 распространить RemcosRAT на цели в Украине. В прошлом году украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) неоднократно предупреждала о кампаниях злоумышленника по распространению трояна удаленного доступа среди организаций в стране.
Самым последним был рекомендация от 21 декабря 2023 г., о массовой фишинговой кампании с использованием электронных писем с вложением, якобы являющимся контрактом с «Киевстар», одним из крупнейших телекоммуникационных провайдеров Украины. Ранее в декабре CERT-UA предупредил об еще одном Массовое распространение RemcosRAT Кампания, включающая электронные письма, якобы посвященные «судебным искам» и «долгам», направленным против организаций и частных лиц в Украине и Польше. Электронные письма содержали вложение в виде архивного файла или файла RAR.
CERT-UA выдавал подобные предупреждения еще три раза в прошлом году: один в ноябре, когда первым средством доставки служили электронные письма на тему повесток в суд; еще один, также в ноябре, с электронными письмами предположительно от службы безопасности Украины; и первое в феврале 2023 года о массовой рассылке по электронной почте с вложениями, которые, судя по всему, были связаны с районным судом Киева.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :имеет
- :является
- :нет
- 2016
- 2023
- 7
- a
- в состоянии
- О нас
- доступ
- активно
- актеры
- администрация
- плюс
- снова
- агентствах
- Оповещения
- якобы
- позволяет
- причислены
- Несмотря на то, что
- среди
- an
- и
- Anonymous
- Другой
- антивирус
- любой
- приложение
- появившийся
- архив
- AS
- оценки
- связанный
- At
- атаковать
- нападки
- попытки
- назад
- задняя дверь
- основанный
- BE
- было
- не являетесь
- между
- но
- by
- под названием
- Кампания
- Кампании
- CAN
- цепь
- Канал
- ребенок
- требования
- Сбор
- Связь
- Ослабленный
- компьютер
- консультирование
- содержащегося
- содержит
- контракт
- контроль
- страна
- корт
- данным
- декабрь
- Декабрь
- Защита
- поставка
- описывает
- обнаружение
- Определять
- различный
- распространять
- распределенный
- распределение
- район
- районный суд
- домен
- скачать
- Ранее
- Писем
- крайняя необходимость
- Конечная точка
- полностью
- лиц
- особенно
- выполнять
- далеко
- Особенность
- февраль
- Файл
- Файлы
- Во-первых,
- Впервые
- внимание
- Что касается
- Войска
- форма
- от
- собирать
- цель
- Правительство
- государственные учреждения
- Государственные учреждения
- группы
- Есть
- HTML
- HTTPS
- in
- лиц
- информация
- начальный
- Посвященные
- устанавливать
- Интеллекта
- с участием
- Израиль
- Выпущен
- IT
- ЕГО
- саму трезвость
- JPG
- судебный
- всего
- известный
- крупнейших
- Фамилия
- В прошлом году
- последний
- Leap
- наименее
- законный
- ЖИЗНЬЮ
- Вероятно
- ДЕЛАЕТ
- вредоносных программ
- многих
- Масса
- Май..
- метод
- Microsoft
- военный
- самых
- мотивированные
- с разными
- Названный
- родной
- Новые
- отметил,
- Ноябрь
- раз
- of
- предлагают
- on
- ONE
- or
- организации
- Другое
- Персонал
- фишинг
- фишинговая кампания
- труба
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польша
- политической
- поза
- возможность
- PowerShell
- процесс
- процессор
- поставщики
- РЕДКИЙ
- последний
- относительно
- остатки
- удаленные
- удаленный доступ
- НЕОДНОКРАТНО
- отчету
- исследователи
- ответ
- отзывы
- Снижение
- роли
- s
- Сказал
- скрипт
- Сектора юридического права
- безопасность
- сервер
- обслуживание
- выступающей
- значительный
- аналогичный
- с
- в некотором роде
- утонченность
- спам
- конкретный
- спекулятивный
- спонсорство
- и политические лидеры
- Область
- Шаги
- украли
- стратегий
- наблюдение
- система
- системы
- с
- целевое
- направлены
- направлена против
- команда
- техника
- связь
- который
- Ассоциация
- тогда
- они
- вещи
- этой
- угроза
- актеры угрозы
- три
- время
- в
- инструментом
- инструменты
- к
- перевод
- Передающий
- срабатывание
- троянец
- два
- Украина
- украинский
- В конечном счете
- неоспоримый
- использование
- Информация о пользователе
- через
- разнообразие
- автомобиль
- продавец
- предупреждал
- законопроект
- , которые
- в то время как
- КТО
- окна
- без
- год
- еще
- зефирнет