กลุ่มภัยคุกคามที่ใช้กลยุทธ์การถ่ายโอนข้อมูลที่หายากในแคมเปญ RemcosRAT ใหม่

กลุ่มภัยคุกคามที่ใช้กลยุทธ์การถ่ายโอนข้อมูลที่หายากในแคมเปญ RemcosRAT ใหม่

ประทับเวลา: 4 มกราคม 2024 8:27 น
กลุ่มภัยคุกคามที่ใช้กลยุทธ์การถ่ายโอนข้อมูลที่หายากในแคมเปญ RemcosRAT ใหม่ PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

ผู้แสดงภัยคุกคามซึ่งเป็นที่รู้จักจากการกำหนดเป้าหมายองค์กรในยูเครนซ้ำแล้วซ้ำเล่าด้วยเครื่องมือเฝ้าระวังและควบคุมระยะไกล RemcosRAT กลับมาดำเนินการอีกครั้ง คราวนี้มาพร้อมกับกลยุทธ์ใหม่ในการถ่ายโอนข้อมูลโดยไม่เรียกใช้ระบบตรวจจับและตอบสนองปลายทาง

ฝ่ายตรงข้ามซึ่งมีการติดตามในชื่อ UNC-0050 มุ่งความสนใจไปที่หน่วยงานรัฐบาลยูเครนในการรณรงค์ครั้งล่าสุด นักวิจัยที่ Uptycs ที่เห็นเหตุการณ์ดังกล่าวกล่าวว่าการโจมตีดังกล่าวอาจมีแรงจูงใจทางการเมือง โดยมีเป้าหมายเพื่อรวบรวมข่าวกรองเฉพาะจากหน่วยงานรัฐบาลยูเครน “ในขณะที่ความเป็นไปได้ของการให้การสนับสนุนจากรัฐยังคงเป็นการเก็งกำไร กิจกรรมของกลุ่มก็ก่อให้เกิดความเสี่ยงที่ไม่อาจปฏิเสธได้ โดยเฉพาะกับภาครัฐที่พึ่งพาระบบ Windows” นักวิจัยของ Uptycs Karthickkumar Kathiresan และ Shilpesh Trivedi เขียนในรายงานในสัปดาห์นี้.

ภัยคุกคาม RemcosRAT

มีการใช้ตัวแสดงภัยคุกคาม RemcosRAT — ซึ่งเริ่มต้นชีวิตด้วยการเป็นเครื่องมือการดูแลระบบระยะไกลที่ถูกกฎหมาย — เพื่อควบคุมระบบที่ถูกบุกรุกตั้งแต่อย่างน้อยปี 2016 เหนือสิ่งอื่นใด เครื่องมือนี้ช่วยให้ผู้โจมตีสามารถรวบรวมและขโมยข้อมูลระบบ ผู้ใช้ และผู้ประมวลผลได้ มันสามารถ ทางอ้อม เครื่องมือตรวจจับแอนติไวรัสและภัยคุกคามปลายทางมากมาย และดำเนินการคำสั่งลับๆ ที่หลากหลาย ในหลายกรณี ผู้คุกคามได้เผยแพร่มัลแวร์ในไฟล์แนบในอีเมลฟิชชิ่ง

Uptycs ยังไม่สามารถระบุเวกเตอร์การโจมตีเริ่มต้นในแคมเปญล่าสุดได้ แต่กล่าวว่ากำลังมุ่งไปที่อีเมลฟิชชิ่งและสแปมตามธีมงาน เนื่องจากน่าจะเป็นวิธีการเผยแพร่มัลแวร์ ผู้จำหน่ายอุปกรณ์รักษาความปลอดภัยรายดังกล่าวประเมินจากอีเมลที่ได้รับการตรวจสอบว่ามีเจตนาเสนอบุคลากรทางทหารที่เป็นเป้าหมายของยูเครนโดยมีบทบาทที่ปรึกษาที่กองกำลังป้องกันประเทศอิสราเอล

ห่วงโซ่การติดไวรัสนั้นเริ่มต้นด้วยไฟล์ .lnk ที่รวบรวมข้อมูลเกี่ยวกับระบบที่ถูกบุกรุก จากนั้นดึงแอป HTML ชื่อ 6.hta จากเซิร์ฟเวอร์ระยะไกลที่ผู้โจมตีควบคุมโดยใช้ไบนารีดั้งเดิมของ Windows Uptycs กล่าว แอปที่ดึงมาประกอบด้วยสคริปต์ PowerShell ที่เริ่มต้นขั้นตอนในการดาวน์โหลดไฟล์เพย์โหลดอื่น ๆ อีกสองไฟล์ (word_update.exe และ ofer.docx) จากโดเมนที่ผู้โจมตีควบคุม และในท้ายที่สุดคือเพื่อติดตั้ง RemcosRAT บนระบบ

กลยุทธ์ที่ค่อนข้างหายาก

สิ่งที่ทำให้แคมเปญใหม่ของ UNC-0050 แตกต่างออกไปคือการใช้ a การสื่อสารระหว่างกระบวนการของ Windows คุณลักษณะที่เรียกว่าไปป์ที่ไม่เปิดเผยตัวตนเพื่อถ่ายโอนข้อมูลบนระบบที่ถูกบุกรุก ตามที่ Microsoft อธิบายไปป์ที่ไม่ระบุชื่อเป็นช่องทางการสื่อสารทางเดียวสำหรับการถ่ายโอนข้อมูลระหว่างกระบวนการหลักและกระบวนการลูก UNC-0050 ใช้ประโยชน์จากคุณสมบัตินี้เพื่อซ่อนช่องทางข้อมูลโดยไม่กระตุ้น EDR หรือการแจ้งเตือนไวรัส Kathiresan และ Trivedi กล่าว

UNC-0050 ไม่ใช่ผู้คุกคามรายแรกที่ใช้ไปป์เพื่อขโมยข้อมูลที่ถูกขโมยไป แต่กลยุทธ์ดังกล่าวยังพบได้ค่อนข้างน้อย นักวิจัยของ Uptycs ตั้งข้อสังเกต “แม้ว่าจะไม่ใช่เรื่องใหม่ทั้งหมด แต่เทคนิคนี้ถือเป็นการก้าวกระโดดครั้งสำคัญในความซับซ้อนของกลยุทธ์ของกลุ่ม” พวกเขากล่าว

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยตรวจพบ UAC-0050 ที่พยายามแจกจ่าย RemcosRAT ไปยังเป้าหมายในยูเครน หลายครั้งในปีที่แล้ว ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) เตือนถึงแคมเปญโดยผู้คุกคามให้แจกจ่ายโทรจันการเข้าถึงระยะไกลไปยังองค์กรในประเทศ

ล่าสุดคือ คำแนะนำในวันที่ 21 ธันวาคม 2023เกี่ยวกับแคมเปญฟิชชิ่งจำนวนมากที่เกี่ยวข้องกับอีเมลพร้อมไฟล์แนบที่อ้างว่าเป็นสัญญาที่เกี่ยวข้องกับ Kyivstar หนึ่งในผู้ให้บริการโทรคมนาคมรายใหญ่ที่สุดของยูเครน เมื่อต้นเดือนธันวาคม CERT-UA ได้เตือนถึงเรื่องอื่น การกระจายมวล RemcosRAT แคมเปญนี้เกี่ยวข้องกับอีเมลที่อ้างว่าเกี่ยวข้องกับ "การเรียกร้องทางศาล" และ "หนี้" ที่กำหนดเป้าหมายองค์กรและบุคคลในยูเครนและโปแลนด์ อีเมลมีไฟล์แนบในรูปแบบของไฟล์เก็บถาวรหรือไฟล์ RAR

CERT-UA ออกการแจ้งเตือนที่คล้ายกันอีกสามครั้งในปีที่แล้ว ครั้งแรกในเดือนพฤศจิกายน โดยมีอีเมลตามหมายเรียกของศาลทำหน้าที่เป็นช่องทางในการจัดส่งเบื้องต้น อีกฉบับในเดือนพฤศจิกายนด้วยอีเมลที่ถูกกล่าวหาว่ามาจากหน่วยงานรักษาความปลอดภัยของยูเครน และครั้งแรกในเดือนกุมภาพันธ์ 2023 เกี่ยวกับแคมเปญอีเมลจำนวนมากพร้อมไฟล์แนบที่ดูเหมือนจะเกี่ยวข้องกับศาลแขวงในเคียฟ

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด