UAC-0184, Remcos RAT ile Finlandiya’daki Ukrayna Kuruluşunu Hedefliyor


UAC-0184 olarak takip edilen tehdit aktörü tespit edildi steganografi tekniklerini kullanarak Remcos uzaktan erişim Truva Atı’nı (RAT), IDAT Yükleyici olarak bilinen nispeten yeni bir kötü amaçlı yazılım aracılığıyla Finlandiya merkezli Ukraynalı bir hedefe ulaştırmak.

Düşman başlangıçta Ukrayna’daki varlıkları hedef alsa da savunma, yükün teslimini engelledi. Morphisec Tehdit Laboratuvarlarından bugün yapılan bir analize göre bu, alternatif hedefler için daha sonra bir arayışa yol açtı.

Morphisec, müşteri gizliliği nedeniyle kampanya ayrıntılarını açıklamazken, araştırmacılar Dark Reading’i işaret etti. paralel kampanyalar iddiaya göre, ilk erişim vektörü olarak e-posta ve hedef odaklı kimlik avı kullanan UAC-0148 tarafından, İsrail Savunma Kuvvetleri’nde (IDF) danışmanlık rolleri için Ukraynalı askeri personeli hedef alan iş tekliflerini sekteye uğratan tuzaklar kullanıldı.

Amaç siber casusluktu: Remcos (“Uzaktan Kontrol ve Gözetleme”nin kısaltması) RAT, siber suçlular tarafından kurbanın bilgisayarına yetkisiz erişim sağlamak, virüslü sistemleri uzaktan kontrol etmek, hassas bilgileri çalmak, komutları yürütmek ve daha fazlasını yapmak için kullanılıyor.

IDAT Loader: Yeni Bir Remcos RAT Enfeksiyon Rutini

Bu özel kampanyaİlk olarak Ocak ayında keşfedilen bu yazılım, ikinci aşama yükünü getiren ve bağlantı kontrolleri ile kampanya analitiğini gerçekleştiren yeni kullanıcı aracısı etiketi “racon”a sahip bir kod parçasıyla başlayarak iç içe geçmiş bir enfeksiyon yaklaşımını kullanıyor.

Araştırmacılar, Morphisec’in bu yükün birden fazla kötü amaçlı yazılım ailesiyle çalıştığı gözlemlenen gelişmiş bir yükleyici olan IDAT Yükleyici, diğer adıyla HijackLoader olduğunu tanımladığını açıkladı. İlk kez 2023’ün sonlarında gözlemlendi.

IDAT, Taşınabilir Ağ Grafikleri (PNG) görüntü dosyası biçimindeki “görüntü verileri” yığınını ifade eder. Yükleyici, ismine uygun olarak, gömülü bir steganografik .PNG görüntüsünün IDAT bloğu içindeki kurban makineye kaçırılan Remcos RAT kodunu bulur ve çıkarır.

Steganografi aktörleri, güvenlik önlemleri tarafından tespit edilmekten kaçınmak için görünüşte zararsız görüntü dosyalarının içine kötü amaçlı yükleri gizler. Görüntü dosyası taramaya girse bile, kötü amaçlı veri yükünün kodlanmış olması onu tespit edilemez hale getirerek, kötü amaçlı yazılım yükleyicisinin görüntüyü bırakmasına, gizli veri yükünü çıkarmasına ve bellekte yürütmesine olanak tanır.

Araştırmacılar, “Kullanıcının PNG görüntüsünü görmesi amaçlanmamıştır” diye açıklıyor. “Bu özel saldırıda kullanılan görüntü görsel olarak bozulmuştu. İlk indirme, sahte bir yazılım yükleme paketi olarak teslim edilen DockerSystem_Gzv3.exe adlı yürütülebilir dosyaydı. Yürütülebilir dosyanın etkinleştirilmesi sonraki saldırı aşamalarına yol açtı.”

RAT Kötü Amaçlı Yazılım Yuvaları Çoğalıyor

Remcos RAT, yaratıcı teknikler kullanılarak giderek daha fazla kullanılıyor. Örneğin bu yılın başlarında, araştırmacılar keşfetti UNC-0050 olarak takip edilen bir tehdit aktörü, Remcos RAT ile Ukrayna’daki kuruluşları defalarca hedef alması ve nadir bir veri aktarım taktiği kullanarak yeni bir saldırıyla ülke hükümetini hedef almasıyla biliniyor.

Bu arada yükseliş uygun fiyatlı kötü amaçlı yazılım “yemek kitleri” 100 doların altında fiyatlandırılan bu ürünler, genellikle e-postalara eklenen meşru görünen Excel ve PowerPoint dosyalarının içine gizlenen RAT’ları kullanan kampanyalarda artışa neden oluyor.

Remcos RAT casus yazılımı da geçen yıl Doğu Avrupa’daki kuruluşları hedef alarak keşfedilmişti. eski bir Windows UAC bypass tekniğinden yararlanılıyorayrıca geçtiğimiz Mart ve Nisan aylarında yapılan bir kampanyada muhasebecileri hedef almak Amerika Birleşik Devletleri’nde vergi beyanı için son tarih öncesinde.

Morphisec araştırmacıları Dark Reading’e şunları söylüyor: “En son saldırıda gözlemlendiği gibi, tehdit aktörleri imza ve davranış tabanlı uç nokta koruma çözümleriyle tespitleri atlatmak için savunmadan kaçınma tekniklerini giderek daha fazla kullanıyor.” “Bu durumda, kaçınma teknikleri olarak steganografi ve hafıza enjeksiyonunun birleşik kullanımını gözlemledik.”

Şunu ekliyorlar: “Bu nedenle güvenlik liderleri, tehdit ortamındaki bu değişiklikleri dikkate almalı ve bu tür potansiyel saldırılara maruz kalmayı azaltarak savunmalarını derinlemesine geliştirebilecek benimseme çözümlerini değerlendirmelidir.”

Tara Seals bu rapora katkıda bulunmuştur.





Source link