ผู้แสดงภัยคุกคามซึ่งเป็นที่รู้จักจากการกำหนดเป้าหมายองค์กรในยูเครนซ้ำแล้วซ้ำเล่าด้วยเครื่องมือเฝ้าระวังและควบคุมระยะไกล RemcosRAT กลับมาดำเนินการอีกครั้ง คราวนี้มาพร้อมกับกลยุทธ์ใหม่ในการถ่ายโอนข้อมูลโดยไม่เรียกใช้ระบบตรวจจับและตอบสนองปลายทาง
ฝ่ายตรงข้ามซึ่งมีการติดตามในชื่อ UNC-0050 มุ่งความสนใจไปที่หน่วยงานรัฐบาลยูเครนในการรณรงค์ครั้งล่าสุด นักวิจัยที่ Uptycs ที่เห็นเหตุการณ์ดังกล่าวกล่าวว่าการโจมตีดังกล่าวอาจมีแรงจูงใจทางการเมือง โดยมีเป้าหมายเพื่อรวบรวมข่าวกรองเฉพาะจากหน่วยงานรัฐบาลยูเครน “ในขณะที่ความเป็นไปได้ของการให้การสนับสนุนจากรัฐยังคงเป็นการเก็งกำไร กิจกรรมของกลุ่มก็ก่อให้เกิดความเสี่ยงที่ไม่อาจปฏิเสธได้ โดยเฉพาะกับภาครัฐที่พึ่งพาระบบ Windows” นักวิจัยของ Uptycs Karthickkumar Kathiresan และ Shilpesh Trivedi เขียนในรายงานในสัปดาห์นี้.
ภัยคุกคาม RemcosRAT
มีการใช้ตัวแสดงภัยคุกคาม RemcosRAT — ซึ่งเริ่มต้นชีวิตด้วยการเป็นเครื่องมือการดูแลระบบระยะไกลที่ถูกกฎหมาย — เพื่อควบคุมระบบที่ถูกบุกรุกตั้งแต่อย่างน้อยปี 2016 เหนือสิ่งอื่นใด เครื่องมือนี้ช่วยให้ผู้โจมตีสามารถรวบรวมและขโมยข้อมูลระบบ ผู้ใช้ และผู้ประมวลผลได้ มันสามารถ ทางอ้อม เครื่องมือตรวจจับแอนติไวรัสและภัยคุกคามปลายทางมากมาย และดำเนินการคำสั่งลับๆ ที่หลากหลาย ในหลายกรณี ผู้คุกคามได้เผยแพร่มัลแวร์ในไฟล์แนบในอีเมลฟิชชิ่ง
Uptycs ยังไม่สามารถระบุเวกเตอร์การโจมตีเริ่มต้นในแคมเปญล่าสุดได้ แต่กล่าวว่ากำลังมุ่งไปที่อีเมลฟิชชิ่งและสแปมตามธีมงาน เนื่องจากน่าจะเป็นวิธีการเผยแพร่มัลแวร์ ผู้จำหน่ายอุปกรณ์รักษาความปลอดภัยรายดังกล่าวประเมินจากอีเมลที่ได้รับการตรวจสอบว่ามีเจตนาเสนอบุคลากรทางทหารที่เป็นเป้าหมายของยูเครนโดยมีบทบาทที่ปรึกษาที่กองกำลังป้องกันประเทศอิสราเอล
ห่วงโซ่การติดไวรัสนั้นเริ่มต้นด้วยไฟล์ .lnk ที่รวบรวมข้อมูลเกี่ยวกับระบบที่ถูกบุกรุก จากนั้นดึงแอป HTML ชื่อ 6.hta จากเซิร์ฟเวอร์ระยะไกลที่ผู้โจมตีควบคุมโดยใช้ไบนารีดั้งเดิมของ Windows Uptycs กล่าว แอปที่ดึงมาประกอบด้วยสคริปต์ PowerShell ที่เริ่มต้นขั้นตอนในการดาวน์โหลดไฟล์เพย์โหลดอื่น ๆ อีกสองไฟล์ (word_update.exe และ ofer.docx) จากโดเมนที่ผู้โจมตีควบคุม และในท้ายที่สุดคือเพื่อติดตั้ง RemcosRAT บนระบบ
กลยุทธ์ที่ค่อนข้างหายาก
สิ่งที่ทำให้แคมเปญใหม่ของ UNC-0050 แตกต่างออกไปคือการใช้ a การสื่อสารระหว่างกระบวนการของ Windows คุณลักษณะที่เรียกว่าไปป์ที่ไม่เปิดเผยตัวตนเพื่อถ่ายโอนข้อมูลบนระบบที่ถูกบุกรุก ตามที่ Microsoft อธิบายไปป์ที่ไม่ระบุชื่อเป็นช่องทางการสื่อสารทางเดียวสำหรับการถ่ายโอนข้อมูลระหว่างกระบวนการหลักและกระบวนการลูก UNC-0050 ใช้ประโยชน์จากคุณสมบัตินี้เพื่อซ่อนช่องทางข้อมูลโดยไม่กระตุ้น EDR หรือการแจ้งเตือนไวรัส Kathiresan และ Trivedi กล่าว
UNC-0050 ไม่ใช่ผู้คุกคามรายแรกที่ใช้ไปป์เพื่อขโมยข้อมูลที่ถูกขโมยไป แต่กลยุทธ์ดังกล่าวยังพบได้ค่อนข้างน้อย นักวิจัยของ Uptycs ตั้งข้อสังเกต “แม้ว่าจะไม่ใช่เรื่องใหม่ทั้งหมด แต่เทคนิคนี้ถือเป็นการก้าวกระโดดครั้งสำคัญในความซับซ้อนของกลยุทธ์ของกลุ่ม” พวกเขากล่าว
นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยตรวจพบ UAC-0050 ที่พยายามแจกจ่าย RemcosRAT ไปยังเป้าหมายในยูเครน หลายครั้งในปีที่แล้ว ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) เตือนถึงแคมเปญโดยผู้คุกคามให้แจกจ่ายโทรจันการเข้าถึงระยะไกลไปยังองค์กรในประเทศ
ล่าสุดคือ คำแนะนำในวันที่ 21 ธันวาคม 2023เกี่ยวกับแคมเปญฟิชชิ่งจำนวนมากที่เกี่ยวข้องกับอีเมลพร้อมไฟล์แนบที่อ้างว่าเป็นสัญญาที่เกี่ยวข้องกับ Kyivstar หนึ่งในผู้ให้บริการโทรคมนาคมรายใหญ่ที่สุดของยูเครน เมื่อต้นเดือนธันวาคม CERT-UA ได้เตือนถึงเรื่องอื่น การกระจายมวล RemcosRAT แคมเปญนี้เกี่ยวข้องกับอีเมลที่อ้างว่าเกี่ยวข้องกับ "การเรียกร้องทางศาล" และ "หนี้" ที่กำหนดเป้าหมายองค์กรและบุคคลในยูเครนและโปแลนด์ อีเมลมีไฟล์แนบในรูปแบบของไฟล์เก็บถาวรหรือไฟล์ RAR
CERT-UA ออกการแจ้งเตือนที่คล้ายกันอีกสามครั้งในปีที่แล้ว ครั้งแรกในเดือนพฤศจิกายน โดยมีอีเมลตามหมายเรียกของศาลทำหน้าที่เป็นช่องทางในการจัดส่งเบื้องต้น อีกฉบับในเดือนพฤศจิกายนด้วยอีเมลที่ถูกกล่าวหาว่ามาจากหน่วยงานรักษาความปลอดภัยของยูเครน และครั้งแรกในเดือนกุมภาพันธ์ 2023 เกี่ยวกับแคมเปญอีเมลจำนวนมากพร้อมไฟล์แนบที่ดูเหมือนจะเกี่ยวข้องกับศาลแขวงในเคียฟ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :มี
- :เป็น
- :ไม่
- 2016
- 2023
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- กิจกรรม
- นักแสดง
- การบริหาร
- ความได้เปรียบ
- อีกครั้ง
- หน่วยงานที่
- การแจ้งเตือน
- นัยว่า
- ช่วยให้
- ด้วย
- แม้ว่า
- ในหมู่
- an
- และ
- ไม่ระบุชื่อ
- อื่น
- โปรแกรมป้องกันไวรัส
- ใด
- app
- ปรากฏ
- เอกสารเก่า
- AS
- การประเมินผล
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- พยายาม
- กลับ
- ประตูหลัง
- ตาม
- BE
- รับ
- กำลัง
- ระหว่าง
- แต่
- by
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- CAN
- โซ่
- ช่อง
- เด็ก
- การเรียกร้อง
- การเก็บรวบรวม
- คมนาคม
- ที่ถูกบุกรุก
- คอมพิวเตอร์
- การให้คำปรึกษา
- ที่มีอยู่
- มี
- สัญญา
- ควบคุม
- ประเทศ
- ศาล
- ข้อมูล
- ธันวาคม
- ธันวาคม
- ป้องกัน
- การจัดส่ง
- อธิบาย
- การตรวจพบ
- กำหนด
- ต่าง
- กระจาย
- กระจาย
- การกระจาย
- ตำบล
- ศาลแขวง
- โดเมน
- ดาวน์โหลด
- ก่อน
- อีเมล
- อีเมล
- กรณีฉุกเฉิน
- ปลายทาง
- อย่างสิ้นเชิง
- หน่วยงาน
- โดยเฉพาะอย่างยิ่ง
- ดำเนินการ
- ไกล
- ลักษณะ
- กุมภาพันธ์
- เนื้อไม่มีมัน
- ไฟล์
- ชื่อจริง
- ครั้งแรก
- มุ่งเน้น
- สำหรับ
- กองกำลัง
- ฟอร์ม
- ราคาเริ่มต้นที่
- รวบรวม
- เป้าหมาย
- รัฐบาล
- หน่วยงานภาครัฐ
- หน่วยงานของรัฐ
- บัญชีกลุ่ม
- มี
- HTML
- HTTPS
- in
- บุคคล
- ข้อมูล
- แรกเริ่ม
- ประทับจิต
- ติดตั้ง
- Intelligence
- ที่เกี่ยวข้องกับ
- อิสราเอล
- ทุนที่ออก
- IT
- ITS
- ตัวเอง
- jpg
- ตามกฎหมาย
- เพียงแค่
- ที่รู้จักกัน
- ใหญ่ที่สุด
- ชื่อสกุล
- ปีที่แล้ว
- ล่าสุด
- กระโดด
- น้อยที่สุด
- ถูกกฎหมาย
- ชีวิต
- น่าจะ
- ทำให้
- มัลแวร์
- หลาย
- มวล
- อาจ..
- วิธี
- ไมโครซอฟท์
- ทหาร
- มากที่สุด
- แรงบันดาลใจ
- หลาย
- ที่มีชื่อ
- พื้นเมือง
- ใหม่
- เด่น
- พฤศจิกายน
- โอกาส
- of
- เสนอ
- on
- ONE
- or
- องค์กร
- อื่นๆ
- บุคลากร
- ฟิชชิ่ง
- แคมเปญฟิชชิ่ง
- ท่อ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โปแลนด์
- ในทางการเมือง
- ท่าทาง
- ความเป็นไปได้
- PowerShell
- กระบวนการ
- หน่วยประมวลผล
- ผู้ให้บริการ
- หายาก
- เมื่อเร็ว ๆ นี้
- สัมพัทธ์
- ซากศพ
- รีโมท
- การเข้าถึงระยะไกล
- ซ้ำแล้วซ้ำเล่า
- รายงาน
- นักวิจัย
- คำตอบ
- สุดท้าย
- ความเสี่ยง
- บทบาท
- s
- กล่าวว่า
- ต้นฉบับ
- ภาค
- ความปลอดภัย
- เซิร์ฟเวอร์
- บริการ
- การให้บริการ
- สำคัญ
- คล้ายคลึงกัน
- ตั้งแต่
- ค่อนข้าง
- ความซับซ้อน
- สแปม
- โดยเฉพาะ
- เกี่ยวกับการพิจารณา
- การประกัน
- ข้อความที่เริ่ม
- สถานะ
- ขั้นตอน
- ที่ถูกขโมย
- กลยุทธ์
- การเฝ้าระวัง
- ระบบ
- ระบบ
- การ
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- เทคนิค
- โทรคมนาคม
- ที่
- พื้นที่
- แล้วก็
- พวกเขา
- สิ่ง
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- เวลา
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- ไปทาง
- โอน
- การถ่ายโอน
- วิกฤติ
- โทรจัน
- สอง
- ประเทศยูเครน
- ยูเครน
- ในที่สุด
- ปฏิเสธไม่ได้
- ใช้
- ผู้ใช้งาน
- การใช้
- ความหลากหลาย
- พาหนะ
- ผู้ขาย
- เตือน
- คือ
- ที่
- ในขณะที่
- WHO
- หน้าต่าง
- กับ
- ไม่มี
- ปี
- ยัง
- ลมทะเล