IDAT Loader rammer ukrainske mål i Finland

Ukrainske enheder beliggende i Finland er blevet ofre for en ondsindet kampagne, der involverer distribution af en kommerciel fjernadgangstrojan kendt som Remcos RAT. Denne kampagne bruger en malware-indlæser ved navn IDAT Loader. Den ansvarlige trusselsaktør, identificeret af Ukraines Computer Emergency Response Team (CERT-UA) som UAC-0184, er blevet forbundet med angrebet.

Morphisec-forsker Michael Dereviashkin fremhævede i en rapport delt med The Hacker News, at angrebet, en del af IDAT Loader, anvender steganografi som en teknik. Mens steganografiske teknikker, almindeligvis kendt som 'Stego', er velkendte, er det afgørende at forstå deres rolle i forsvarsunddragelse for at udvikle effektive forsvar mod sådanne taktikker.

IDAT Loader deler DNA med Hijack Loader Malware

IDAT Loader, som deler ligheder med en anden læsserfamilie kaldet Hijack Loader, er blevet brugt til at levere forskellige nyttelaster, herunder DanaBot, SystemBC og RedLine Stealer i de seneste måneder. Derudover er loaderen blevet brugt af en trusselsaktør kendt som TA544 til at sprede Remcos RAT og SystemBC gennem phishing-angreb.

Phishing-kampagnen, som oprindeligt blev afsløret af CERT-UA i begyndelsen af januar 2024, involverer brugen af krigstema lokker til at starte en infektionskæde. Denne kæde fører i sidste ende til implementeringen af IDAT Loader, som derefter bruger en indlejret steganografisk PNG til at lokalisere og udtrække Remcos RAT.

I en relateret udvikling afslørede CERT-UA, at forsvarsstyrker i landet er blevet målrettet gennem Signal instant messaging-appen. Angriberne distribuerer et booby-fanget Microsoft Excel-dokument i dette scenarie, der udfører COOKBOX, en PowerShell-baseret malware, der er i stand til at indlæse og udføre cmdlets. Denne aktivitet er blevet tilskrevet en klynge kaldet UAC-0149.