Nhóm đe dọa sử dụng chiến thuật truyền dữ liệu hiếm trong chiến dịch RemcosRAT mới

Một tác nhân đe dọa nổi tiếng với việc liên tục nhắm mục tiêu vào các tổ chức ở Ukraine bằng công cụ điều khiển và giám sát từ xa RemcosRAT đã quay trở lại, lần này với một chiến thuật mới để truyền dữ liệu mà không kích hoạt hệ thống phản hồi và phát hiện điểm cuối.

Kẻ thù có tên UNC-0050, tập trung vào các thực thể chính phủ Ukraine trong chiến dịch mới nhất của mình. Các nhà nghiên cứu tại Uptycs đã phát hiện ra nó cho biết các cuộc tấn công có thể có động cơ chính trị, với mục tiêu thu thập thông tin tình báo cụ thể từ các cơ quan chính phủ Ukraine. Các nhà nghiên cứu Karthickkumar Kathiresan và Shilpesh Trivedi của Uptycs cho biết: “Mặc dù khả năng được nhà nước tài trợ vẫn còn mang tính suy đoán, nhưng các hoạt động của nhóm gây ra rủi ro không thể phủ nhận, đặc biệt là đối với các khu vực chính phủ phụ thuộc vào hệ thống Windows”. đã viết trong một báo cáo tuần này.

Mối đe dọa RemcosRAT

Những kẻ đe dọa đã và đang sử dụng RemcosRAT — bắt đầu hoạt động như một công cụ quản trị từ xa hợp pháp — để kiểm soát các hệ thống bị xâm nhập ít nhất là từ năm 2016. Trong số những tính năng khác, công cụ này cho phép kẻ tấn công thu thập và lấy cắp thông tin hệ thống, người dùng và bộ xử lý. Nó có thể bỏ qua nhiều công cụ phát hiện mối đe dọa chống vi-rút và điểm cuối cũng như thực thi nhiều lệnh cửa sau. Trong nhiều trường hợp, các tác nhân đe dọa đã phát tán phần mềm độc hại dưới dạng tệp đính kèm trong email lừa đảo.

Uptycs vẫn chưa thể xác định vectơ tấn công ban đầu trong chiến dịch mới nhất nhưng cho biết họ đang nghiêng về các email spam và lừa đảo theo chủ đề công việc vì rất có thể đây là phương thức phân phối phần mềm độc hại. Nhà cung cấp dịch vụ bảo mật này đưa ra đánh giá dựa trên các email mà họ đã xem xét nhằm mục đích cung cấp cho các nhân viên quân sự Ukraine mục tiêu vai trò cố vấn tại Lực lượng Phòng vệ Israel.

Uptycs cho biết chuỗi lây nhiễm bắt đầu bằng tệp .lnk thu thập thông tin về hệ thống bị xâm nhập và sau đó truy xuất ứng dụng HTML có tên 6.hta từ máy chủ từ xa do kẻ tấn công kiểm soát bằng cách sử dụng tệp nhị phân gốc của Windows. Ứng dụng được truy xuất chứa tập lệnh PowerShell bắt đầu các bước tải xuống hai tệp tải trọng khác (word_update.exe và ofer.docx) từ miền do kẻ tấn công kiểm soát và cuối cùng là cài đặt RemcosRAT trên hệ thống.

Một chiến thuật hơi hiếm

Điều làm cho chiến dịch mới của UNC-0050 trở nên khác biệt là việc kẻ đe dọa sử dụng một Truyền thông liên tiến trình Windows tính năng được gọi là đường ống ẩn danh để truyền dữ liệu trên các hệ thống bị xâm nhập. Như Microsoft mô tả, đường ống ẩn danh là kênh liên lạc một chiều để truyền dữ liệu giữa tiến trình cha và tiến trình con. Kathiresan và Trivedi cho biết UNC-0050 đang tận dụng tính năng này để truyền dữ liệu một cách bí mật mà không kích hoạt bất kỳ cảnh báo EDR hoặc chống vi-rút nào.

Các nhà nghiên cứu của Uptycs lưu ý rằng UNC-0050 không phải là tác nhân đe dọa đầu tiên sử dụng đường ống để lọc dữ liệu bị đánh cắp, nhưng chiến thuật này vẫn còn tương đối hiếm. Họ cho biết: “Mặc dù không hoàn toàn mới, nhưng kỹ thuật này đánh dấu một bước nhảy vọt đáng kể về mức độ phức tạp trong chiến lược của nhóm”.

Đây không phải là lần đầu tiên các nhà nghiên cứu bảo mật phát hiện UAC-0050 đang cố gắng phân phối RemcosRAT cho các mục tiêu ở Ukraine. Nhiều lần trong năm ngoái, Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã cảnh báo về các chiến dịch của kẻ đe dọa nhằm phát tán Trojan truy cập từ xa tới các tổ chức trong nước.

Gần đây nhất là một tư vấn vào ngày 21 tháng 2023 năm XNUMX, về một chiến dịch lừa đảo hàng loạt liên quan đến các email có tệp đính kèm được cho là hợp đồng liên quan đến Kyivstar, một trong những nhà cung cấp dịch vụ viễn thông lớn nhất Ukraine. Đầu tháng 12, CERT-UA đã cảnh báo về một vấn đề khác RemcosRAT phân phối hàng loạt chiến dịch này, chiến dịch này liên quan đến các email có nội dung về “các khiếu nại tư pháp” và “các khoản nợ” nhắm mục tiêu vào các tổ chức và cá nhân ở Ukraine và Ba Lan. Các email chứa tệp đính kèm ở dạng tệp lưu trữ hoặc tệp RAR.

CERT-UA đã đưa ra cảnh báo tương tự trong ba lần khác vào năm ngoái, một lần vào tháng 2023 với các email có chủ đề trát hầu tòa của tòa án đóng vai trò là phương tiện chuyển phát ban đầu; một vụ khác, cũng vào tháng XNUMX, với các email được cho là từ cơ quan an ninh Ukraine; và lần đầu tiên vào tháng XNUMX năm XNUMX về một chiến dịch email hàng loạt có tệp đính kèm dường như có liên quan đến tòa án quận ở Kyiv.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign