Skupina groženj uporablja redko taktiko prenosa podatkov v novi kampanji RemcosRAT

Akter grožnje, znan po tem, da z orodjem za oddaljeni nadzor in nadzor RemcosRAT večkrat cilja na organizacije v Ukrajini, se je spet vrnil, tokrat z novo taktiko za prenos podatkov brez sprožitve sistemov za zaznavanje in odziv na končne točke.

Nasprotnik, označen kot UNC-0050, je v svoji zadnji kampanji osredotočen na ukrajinske vladne subjekte. Raziskovalci pri Uptycsu, ki so ga opazili, so dejali, da so napadi morda politično motivirani, s ciljem zbiranja posebnih obveščevalnih podatkov ukrajinskih vladnih agencij. "Medtem ko je možnost državnega sponzorstva še vedno špekulativna, dejavnosti skupine predstavljajo nesporno tveganje, zlasti za vladne sektorje, ki so odvisni od sistemov Windows," sta raziskovalca Uptycs Karthickkumar Kathiresan in Shilpesh Trivedi zapisal v poročilu ta teden.

Grožnja RemcosRAT

Igralci grožnje uporabljajo RemcosRAT — ki je začelo življenje kot zakonito orodje za oddaljeno skrbništvo — za nadzor ogroženih sistemov vsaj od leta 2016. Orodje med drugim omogoča napadalcem zbiranje in izločanje informacij o sistemu, uporabniku in procesorju. Lahko bypass veliko protivirusnih orodij in orodij za odkrivanje groženj končnih točk ter izvajanje različnih ukazov za zadnja vrata. V mnogih primerih akterji groženj zlonamerno programsko opremo razdelijo v priponkah e-poštnih sporočil z lažnim predstavljanjem.

Uptycs še ni mogel določiti začetnega vektorja napada v zadnji kampanji, vendar je dejal, da se nagiba k lažnemu predstavljanju in neželeni e-pošti, ki je najverjetneje način distribucije zlonamerne programske opreme. Prodajalec varnosti je svoje ocene utemeljil na e-poštnih sporočilih, ki jih je pregledal in ki naj bi ciljanemu ukrajinskemu vojaškemu osebju ponudili svetovalne vloge pri izraelskih obrambnih silah.

Sama veriga okužbe se začne z datoteko .lnk, ki zbira informacije o ogroženem sistemu in nato pridobi aplikacijo HTML z imenom 6.hta iz oddaljenega strežnika, ki ga nadzoruje napadalec, z uporabo izvorne binarne datoteke Windows, je dejal Uptycs. Pridobljena aplikacija vsebuje skript PowerShell, ki sproži korake za prenos dveh drugih datotek koristnega tovora (word_update.exe in ofer.docx) iz domene, ki jo nadzoruje napadalec, in – končno – za namestitev RemcosRAT v sistem.

Nekoliko redka taktika

Kar naredi novo kampanjo UNC-0050 drugačno, je uporaba a Medprocesne komunikacije Windows funkcija imenovana anonimne cevi za prenos podatkov v ogroženih sistemih. Kot opisuje Microsoft, je anonimna cev enosmerni komunikacijski kanal za prenos podatkov med nadrejenim in podrejenim procesom. UNC-0050 izkorišča to funkcijo za prikrito usmerjanje podatkov, ne da bi sprožil EDR ali protivirusna opozorila, sta povedala Kathiresan in Trivedi.

UNC-0050 ni prvi akter grožnje, ki uporablja cevi za izločanje ukradenih podatkov, vendar je ta taktika še vedno relativno redka, ugotavljajo raziskovalci Uptycs. "Čeprav ni povsem nova, ta tehnika pomeni pomemben preskok v prefinjenosti strategij skupine," so povedali.

To še zdaleč ni prvič, da so varnostni raziskovalci opazili UAC-0050, ki poskuša razdeliti RemcosRAT tarčam v Ukrajini. Lansko leto je ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA) večkrat opozorila na kampanje akterja grožnje za distribucijo trojanca za oddaljeni dostop organizacijam v državi.

Najnovejša je bila an svetovanje 21. decembra 2023, o kampanji množičnega lažnega predstavljanja, ki vključuje e-poštna sporočila s priponko, ki naj bi bila pogodba, ki vključuje Kyivstar, enega največjih ukrajinskih ponudnikov telekomunikacij. V začetku decembra je CERT-UA opozoril na drugo Masna porazdelitev RemcosRAT kampanja, ki je vključevala e-poštna sporočila, ki naj bi se nanašala na "sodne zahtevke" in "dolgove", namenjena organizacijam in posameznikom v Ukrajini in na Poljskem. Elektronska sporočila so vsebovala priponke v obliki arhivske datoteke ali datoteke RAR.

CERT-UA je izdal podobna opozorila ob treh drugih priložnostih lani, enega novembra z e-poštnimi sporočili na temo sodnih pozivov, ki so služila kot prvotno dostavno sredstvo; drugo, prav tako novembra, z e-poštnimi sporočili, ki naj bi jih poslala ukrajinska varnostna služba; in prvi februarja 2023 o množični e-poštni kampanji s priponkami, ki je bila videti povezana z okrožnim sodiščem v Kijevu.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign