因使用 RemcosRAT 远程监视和控制工具反复针对乌克兰组织而闻名的威胁行为者再次发起攻击,这次采用了一种新策略,可以在不触发端点检测和响应系统的情况下传输数据。
被追踪为 UNC-0050 的对手在最新的攻击活动中重点针对乌克兰政府实体。发现该事件的 Uptycs 研究人员表示,这些攻击可能是出于政治动机,目的是从乌克兰政府机构收集具体情报。 Uptycs 研究人员 Karthickkumar Kathiresan 和 Shilpesh Trivedi 表示:“虽然国家赞助的可能性仍然是推测性的,但该组织的活动构成了不可否认的风险,特别是对于依赖 Windows 系统的政府部门。” 本周在一份报告中写道.
RemcosRAT 威胁
威胁行为者一直在使用 雷姆科斯RAT - 最初是作为合法的远程管理工具 - 至少从 2016 年开始控制受感染的系统。除其他外,该工具允许攻击者收集和窃取系统、用户和处理器信息。它可以 绕行 许多防病毒和端点威胁检测工具并执行各种后门命令。在许多情况下,威胁行为者会通过网络钓鱼电子邮件的附件分发恶意软件。
Uptycs 目前还无法确定最新活动中的初始攻击向量,但表示它倾向于以工作为主题的网络钓鱼和垃圾邮件,因为最有可能是恶意软件分发方法。该安全供应商的评估基于其审查的电子邮件,这些电子邮件据称向目标乌克兰军事人员提供在以色列国防军担任顾问的职位。
Uptycs 表示,感染链本身以 .lnk 文件开始,该文件收集有关受感染系统的信息,然后使用 Windows 本机二进制文件从攻击者控制的远程服务器检索名为 6.hta 的 HTML 应用程序。检索到的应用程序包含一个 PowerShell 脚本,该脚本启动从攻击者控制的域下载另外两个有效负载文件(word_update.exe 和 ofer.docx)的步骤,并最终在系统上安装 RemcosRAT。
有点罕见的策略
UNC-0050 新活动的不同之处在于威胁行为者使用 Windows进程间通信 称为匿名管道的功能,用于在受感染的系统上传输数据。正如 Microsoft 所描述的,匿名管道是一种用于在父进程和子进程之间传输数据的单向通信通道。 Kathiresan 和 Trivedi 表示,UNC-0050 正在利用该功能秘密传输数据,而不会触发任何 EDR 或防病毒警报。
Uptycs 研究人员指出,UNC-0050 并不是第一个使用管道窃取被盗数据的威胁行为者,但这种策略仍然相对罕见。他们表示:“虽然不是全新的技术,但这项技术标志着该组织战略复杂性的重大飞跃。”
这并不是安全研究人员第一次发现 UAC-0050 试图向乌克兰的目标分发 RemcosRAT。去年,乌克兰计算机紧急响应小组 (CERT-UA) 曾多次警告威胁行为者向该国组织分发远程访问木马的活动。
最近的是一个 21 年 2023 月 XNUMX 日咨询,关于一场大规模网络钓鱼活动,涉及带有附件的电子邮件,该附件据称是涉及乌克兰最大的电信提供商之一 Kyivstar 的合同。 12 月初,CERT-UA 警告称,还有另一 RemcosRAT 质量分布 活动中,这封电子邮件声称涉及针对乌克兰和波兰的组织和个人的“司法索赔”和“债务”。这些电子邮件包含存档文件或 RAR 文件形式的附件。
去年 2023 月,CERT-UA 在其他三个场合发出了类似的警报,其中一次以法庭传票为主题的电子邮件作为最初的发送工具;另一次也是在 XNUMX 月,其中包含据称来自乌克兰安全部门的电子邮件;第一次是在 XNUMX 年 XNUMX 月,涉及一场群发电子邮件活动,其中的附件似乎与基辅地区法院有关。
- :具有
- :是
- :不是
- 2016
- 2023
- 7
- a
- Able
- 关于
- ACCESS
- 活动
- 演员
- 管理
- 优点
- 再次
- 机构
- 通知
- 据称
- 允许
- 还
- 尽管
- 其中
- an
- 和
- 匿名
- 另一个
- 杀毒软件
- 任何
- 应用
- 出现
- 档案
- AS
- 评估
- 相关
- At
- 攻击
- 攻击
- 尝试
- 背部
- 后门
- 基于
- BE
- 很
- 作为
- 之间
- 但是
- by
- 被称为
- 营销活动
- 活动
- CAN
- 链
- 渠道
- 孩子
- 索赔
- 收藏
- 通信
- 妥协
- 一台
- 顾问
- 包含
- 包含
- 合同
- 控制
- 国家
- 法庭
- data
- 十二月
- 十二月
- 国防
- 交货
- 介绍
- 检测
- 确定
- 不同
- 分发
- 分布
- 分配
- 区
- 地方法院
- 域
- 下载
- 此前
- 邮箱地址
- 电子邮件
- 紧急
- 端点
- 完全
- 实体
- 特别
- 执行
- 远
- 专栏
- 二月
- 文件
- 档
- (名字)
- 第一次
- 重点
- 针对
- 部队
- 申请
- 止
- 收集
- 目标
- 政府
- 政府机构
- 政府实体
- 团队
- 有
- HTML
- HTTPS
- in
- 个人
- 信息
- 初始
- 同修
- 安装
- 房源搜索
- 涉及
- 以色列
- 发行
- IT
- 它的
- 本身
- JPG
- 司法
- 只是
- 已知
- 最大
- (姓氏)
- 去年
- 最新
- 飞跃
- 最少
- 合法
- 生活
- 容易
- 制作
- 恶意软件
- 许多
- 质量
- 可能..
- 方法
- 微软
- 军工
- 最先进的
- 动机
- 多
- 命名
- 本地人
- 全新
- 注意到
- 十一月
- 场合
- of
- 提供
- on
- 一
- or
- 组织
- 其他名称
- 人员
- 钓鱼
- 网络钓鱼活动
- 管
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 波兰
- 政治
- 提出
- 可能性
- PowerShell的
- 过程
- 处理器
- 供应商
- 罕见
- 最近
- 相对
- 遗迹
- 远程
- 通过远程访问
- 反复
- 报告
- 研究人员
- 响应
- 审查
- 风险
- 角色
- s
- 说
- 脚本
- 行业
- 保安
- 服务器
- 服务
- 服务
- 显著
- 类似
- 自
- 有些
- 极致
- 垃圾邮件
- 具体的
- 投机
- 赞助
- 开始
- 州/领地
- 步骤
- 被盗
- 策略
- 监控
- 系统
- 产品
- 服用
- 针对
- 瞄准
- 目标
- 团队
- 技术
- 电信
- 这
- 然后
- 他们
- 事
- Free Introduction
- 威胁
- 威胁者
- 三
- 次
- 至
- 工具
- 工具
- 对于
- 转让
- 传输
- 触发
- 木马
- 二
- 乌克兰
- 乌克兰语
- 最终
- 不可否认
- 使用
- 用户
- 运用
- 各种
- 汽车
- 供应商
- 警告
- 是
- 这
- 而
- WHO
- 窗户
- 也完全不需要
- 年
- 但
- 和风网