Група загроз використовує рідкісну тактику передачі даних у новій кампанії RemcosRAT

Зловмисник, відомий тим, що неодноразово атакував організації в Україні за допомогою інструменту віддаленого спостереження та контролю RemcosRAT, знову повернувся до справи, цього разу з новою тактикою передачі даних без запуску систем виявлення кінцевих точок і реагування.

Противник, який відстежується як UNC-0050, у своїй останній кампанії зосереджений на українських державних установах. Дослідники з Uptycs, які помітили це, сказали, що атаки можуть бути політично вмотивованими з метою збору конкретної розвідувальної інформації від українських урядових установ. «Хоча можливість державного спонсорства залишається спекулятивною, діяльність групи становить беззаперечний ризик, особливо для державних секторів, які залежать від систем Windows», – дослідники Uptycs Картіккумар Катіресан і Шілпеш Тріведі. написав у звіті цього тижня.

Загроза RemcosRAT

Загрози використовували актори RemcosRAT — який почав своє життя як законний інструмент віддаленого адміністрування — для контролю зламаних систем принаймні з 2016 року. Серед іншого, інструмент дозволяє зловмисникам збирати та викрадати інформацію про систему, користувача та процесор. Це може обходити багато антивірусів і інструментів виявлення загроз для кінцевих точок, а також виконувати різноманітні бекдор-команди. У багатьох випадках зловмисники поширювали зловмисне програмне забезпечення у вкладеннях у фішингових електронних листах.

Uptycs ще не змогла визначити початковий вектор атаки в останній кампанії, але заявила, що схиляється до фішингу та спаму на тему роботи, оскільки, швидше за все, метод розповсюдження шкідливого програмного забезпечення. Постачальник засобів безпеки ґрунтував свої оцінки на перевірених ним електронних листах, які нібито пропонували цільовим українським військовослужбовцям консультаційні функції в Армії оборони Ізраїлю.

Сам ланцюжок зараження починається з файлу .lnk, який збирає інформацію про скомпрометовану систему, а потім отримує HTML-додаток під назвою 6.hta з контрольованого зловмисником віддаленого сервера за допомогою власного двійкового файлу Windows, повідомляє Uptycs. Отримана програма містить сценарій PowerShell, який ініціює кроки для завантаження двох інших файлів корисного навантаження (word_update.exe та ofer.docx) із домену, контрольованого зловмисником, і — зрештою — для встановлення RemcosRAT у системі.

Дещо рідкісна тактика

Нову кампанію UNC-0050 відрізняє використання загрозою a Комунікації між процесами Windows функція під назвою анонімні канали для передачі даних у зламаних системах. Як описує Microsoft, анонімний канал — це односторонній канал зв’язку для передачі даних між батьківським і дочірнім процесами. UNC-0050 користується цією функцією для прихованого перенаправлення даних без ініціювання EDR або антивірусних попереджень, повідомили Kathiresan і Trivedi.

UNC-0050 не є першою загрозою, яка використовує канали для вилучення вкрадених даних, але ця тактика залишається відносно рідкісною, відзначили дослідники Uptycs. «Ця техніка, хоча й не зовсім нова, знаменує значний стрибок у вдосконаленні стратегій групи», — сказали вони.

Це далеко не перший випадок, коли дослідники безпеки помітили UAC-0050, який намагався розповсюдити RemcosRAT цілям в Україні. Минулого року Українська група реагування на комп’ютерні надзвичайні ситуації (CERT-UA) неодноразово попереджала про кампанії зловмисника з розповсюдження трояна віддаленого доступу до організацій у країні.

Найновішим був ан консультація 21 грудня 2023 р, про масову фішингову кампанію із використанням електронних листів із вкладенням, які нібито були договором за участю одного з найбільших телекомунікаційних операторів України «Київстар». Раніше в грудні CERT-UA попереджав про інше Масове поширення RemcosRAT Ця кампанія включає електронні листи, які нібито стосуються «судових позовів» і «боргів», націлених на організації та окремих осіб в Україні та Польщі. Листи містили вкладення у вигляді архівного файлу або файлу RAR.

CERT-UA надсилав подібні сповіщення ще три рази минулого року, одне – у листопаді з електронними листами на тему судових повісток, які слугували початковим засобом доставки; інший, також у листопаді, з електронними листами нібито від Служби безпеки України; і перший у лютому 2023 року про масову електронну кампанію з вкладеннями, які, як видається, були пов’язані з районним судом у Києві.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign