UAC-0184 olarak takip edilen tehdit aktörü tespit edildi steganografi tekniklerini kullanarak Remcos uzaktan erişim Truva Atı'nı (RAT), IDAT Yükleyici olarak bilinen nispeten yeni bir kötü amaçlı yazılım aracılığıyla Finlandiya merkezli Ukraynalı bir hedefe ulaştırmak.
Her ne kadar düşman başlangıçta Ukrayna'daki varlıkları hedef alsa da savunma, yükün teslimini engelledi. Morphisec Tehdit Laboratuvarlarından bugün yapılan bir analize göre bu, alternatif hedefler için daha sonra bir arayışa yol açtı.
Morphisec, müşteri gizliliği nedeniyle kampanya ayrıntılarını açıklamazken, araştırmacılar Dark Reading'i işaret etti. paralel kampanyalar iddiaya göre, ilk erişim vektörü olarak e-posta ve hedefe yönelik kimlik avı kullanan UAC-0148 tarafından, İsrail Savunma Kuvvetleri'nde (IDF) danışmanlık rolleri için Ukraynalı askeri personeli hedef alan iş tekliflerini sekteye uğratan tuzaklar kullanıldı.
Amaç siber casusluktu: Remcos ("Uzaktan Kontrol ve Gözetleme"nin kısaltması) RAT, siber suçlular tarafından kurbanın bilgisayarına yetkisiz erişim sağlamak, virüslü sistemleri uzaktan kontrol etmek, hassas bilgileri çalmak, komutları yürütmek ve daha fazlasını yapmak için kullanılıyor.
IDAT Loader: Yeni Bir Remcos RAT Enfeksiyon Rutini
Bu özel kampanyaİlk olarak Ocak ayında keşfedilen , ikinci aşama yükünü getiren ve bağlantı kontrolleri ile kampanya analitiğini gerçekleştiren yeni kullanıcı aracısı etiketi "racon" ile başlayan kod parçasıyla başlayarak iç içe geçmiş bir enfeksiyon yaklaşımını kullanıyor.
Araştırmacılar, Morphisec'in bu yükün birden fazla kötü amaçlı yazılım ailesiyle çalıştığı gözlemlenen gelişmiş bir yükleyici olan IDAT Yükleyici, yani HijackLoader olduğunu tanımladığını açıkladı. İlk kez 2023'ün sonlarında gözlemlendi.
IDAT, Taşınabilir Ağ Grafikleri (PNG) görüntü dosyası formatındaki "görüntü verileri" yığınını ifade eder. Yükleyici, ismine uygun olarak, gömülü bir steganografik .PNG görüntüsünün IDAT bloğu içindeki kurban makineye kaçırılan Remcos RAT kodunu bulur ve çıkarır.
Steganografi aktörleri, güvenlik önlemleri tarafından tespit edilmekten kaçınmak için görünüşte zararsız görüntü dosyalarının içine kötü amaçlı yükleri gizler. Görüntü dosyası taramaya girse bile, kötü amaçlı veri yükünün kodlanmış olması onu tespit edilemez hale getirerek, kötü amaçlı yazılım yükleyicisinin görüntüyü bırakmasına, gizli veri yükünü çıkarmasına ve bellekte yürütmesine olanak tanır.
Araştırmacılar, "Kullanıcının PNG görüntüsünü görmesi amaçlanmamıştır" diye açıklıyor. "Bu özel saldırıda kullanılan görüntü görsel olarak bozulmuştu. İlk indirme, sahte bir yazılım yükleme paketi olarak sunulan DockerSystem_Gzv3.exe adlı yürütülebilir dosyaydı. Yürütülebilir dosyanın etkinleştirilmesi sonraki saldırı aşamalarına yol açtı."
RAT Kötü Amaçlı Yazılım Yuvaları Çoğalıyor
Remcos RAT, yaratıcı teknikler kullanılarak giderek daha fazla kullanılıyor. Örneğin bu yılın başlarında, araştırmacılar keşfetti UNC-0050 olarak takip edilen bir tehdit aktörü, Remcos RAT ile Ukrayna'daki kuruluşları defalarca hedef alması ve nadir bir veri aktarım taktiği kullanarak yeni bir saldırıyla ülke hükümetini hedef almasıyla biliniyor.
Bu arada yükseliş uygun fiyatlı kötü amaçlı yazılım “yemek kitleri” 100 doların altında fiyatlandırılan bu ürünler, genellikle e-postalara eklenen meşru görünen Excel ve PowerPoint dosyalarının içinde gizlenen RAT'ları kullanan kampanyalarda artışa neden oluyor.
Remcos RAT casus yazılımı da geçen yıl Doğu Avrupa'daki kuruluşları hedef alarak keşfedilmişti. eski bir Windows UAC bypass tekniğinden yararlanılıyoryanı sıra geçen Mart ve Nisan ayındaki bir kampanyada muhasebecileri hedef almak Amerika Birleşik Devletleri'nde vergi beyanı için son tarih öncesinde.
Morphisec araştırmacıları Dark Reading'e şunları söylüyor: "En son saldırıda gözlemlendiği gibi, tehdit aktörleri imza ve davranış tabanlı uç nokta koruma çözümleriyle tespitleri atlatmak için savunmadan kaçınma tekniklerini giderek daha fazla kullanıyor." "Bu durumda, kaçınma teknikleri olarak steganografi ve hafıza enjeksiyonunun birleşik kullanımını gözlemledik."
Şunu ekliyorlar: "Bu nedenle güvenlik liderleri, tehdit ortamındaki bu değişiklikleri dikkate almalı ve bu tür potansiyel saldırılara maruz kalmayı azaltarak savunmalarını derinlemesine geliştirebilecek benimseme çözümlerini değerlendirmelidir."
Tara Seals bu rapora katkıda bulunmuştur.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cyberattacks-data-breaches/uac-0184-targets-ukrainian-entity-finland-remcos-rat
- :vardır
- :dır-dir
- :olumsuzluk
- 2023
- a
- erişim
- Göre
- Etkinleştirme
- aktör
- aktörler
- eklemek
- Benimseme
- ileri
- hasım
- önde
- aka
- iddiaya göre
- Ayrıca
- an
- analiz
- analytics
- ve
- yaklaşım
- Nisan
- ARE
- AS
- ekli
- saldırı
- saldırılar
- merkezli
- olmuştur
- olmak
- Engellemek
- by
- baypas
- Kampanya
- Kampanyalar
- CAN
- dava
- değişiklikler
- Çekler
- kod
- kombine
- bilgisayar
- gizlilik
- Bağlantı
- Düşünmek
- danışmanlık
- katkıda
- kontrol
- ülke
- Yaratıcı
- müşteri
- Siber
- siber suçluların
- karanlık
- karanlık okuma
- veri
- son teslim tarihi
- Savunma
- savunmaları
- teslim etmek
- teslim edilen
- teslim
- konuşlandırılmış
- derinlik
- ayrıntılar
- Bulma
- vermedin
- ifşa
- keşfetti
- indir
- sürme
- Damla
- gereken
- Daha erken
- doğu
- Doğu Avrupa
- E-posta
- e-postalar
- gömülü
- etkinleştirme
- Son nokta
- Son Nokta Koruması
- artırmak
- kişiler
- varlık
- casusluk
- Eter (ETH)
- AVRUPA
- kaçmasına
- kaçırma
- Hatta
- Excel
- yürütmek
- Açıklamak
- Maruz kalma
- çıkarmak
- Hulasa
- gerçek
- sahte
- aileleri
- fileto
- dosyalar
- Dosyalama
- Finlandiya
- Ad
- İçin
- Güçler
- biçim
- sık sık
- itibaren
- Kazanç
- genel
- gol
- Hükümet
- grafik
- Gizli
- gizlemek
- HTTPS
- tespit
- IDF
- if
- görüntü
- in
- Artırmak
- giderek
- enfekte
- enfeksiyon
- bilgi
- ilk
- başlangıçta
- Kurulum
- örnek
- yönelik
- Israil
- IT
- ONUN
- Ocak
- İş
- jpg
- bilinen
- Labs
- manzara
- Soyad
- Geç
- son
- liderleri
- Led
- meşru
- leverages
- yükleyici
- makine
- YAPAR
- kötü niyetli
- kötü amaçlı yazılım
- Mart
- önlemler
- Bellek
- Askeri
- Daha
- çoklu
- isim
- adlı
- Yuvalanmış
- ağ
- yeni
- roman
- gözlenen
- of
- Teklifler
- Eski
- üstüne
- organizasyonlar
- dışarı
- paket
- geçmiş
- gerçekleştirir
- personel
- parça
- Platon
- Plato Veri Zekası
- PlatoVeri
- taşınabilir
- potansiyel
- koruma
- NADİR
- SIÇAN
- Okuma
- azaltarak
- ifade eder
- Nispeten
- uzak
- uzaktan erişim
- uzaktan
- DEFALARCA
- rapor
- Araştırmacılar
- Yükselmek
- rolleri
- rutin
- s
- tarama
- Ara
- güvenlik
- güvenlik önlemleri
- görmek
- görünüşte
- hassas
- kısa
- meli
- imza
- Yazılım
- Çözümler
- özel
- Sponsor
- casus
- aşamaları
- XNUMX dakika içinde!
- Devletler
- sonraki
- böyle
- gözetim
- Sistemler
- T
- TAG
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- Vergiler
- teknikleri
- söylemek
- o
- The
- ve bazı Asya
- bu nedenle
- Bunlar
- Re-Tweet
- Bu yıl
- tehdit
- tehdit aktörleri
- için
- bugün
- izleniyor
- transfer
- Truva
- gerçek
- Ukrayna
- Ukrayna
- yetkisiz
- altında
- uğrar
- Birleşik
- USA
- kullanım
- Kullanılmış
- kullanıcı
- kullanma
- Kullanılması
- vektör
- üzerinden
- Kurban
- görsel
- oldu
- we
- İYİ
- hangi
- pencereler
- ile
- içinde
- İş
- yıl
- zefirnet
