Το IDAT Loader χτυπά Ουκρανικούς στόχους στη Φινλανδία

Ουκρανικές οντότητες που βρίσκονται στη Φινλανδία έχουν πέσει θύματα μιας κακόβουλης εκστρατείας που περιλαμβάνει τη διανομή ενός εμπορικού trojan απομακρυσμένης πρόσβασης γνωστού ως Remcos RAT. Αυτή η καμπάνια χρησιμοποιεί ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού που ονομάζεται IDAT Loader. Ο υπεύθυνος παράγοντας απειλής, που προσδιορίστηκε από την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) ως UAC-0184, έχει συνδεθεί με την επίθεση.

Ο ερευνητής Morphisec, Michael Dereviashkin, σε μια αναφορά που κοινοποιήθηκε στο The Hacker News, τόνισε ότι η επίθεση, ένα στοιχείο του IDAT Loader, χρησιμοποιεί τη στεγανογραφία ως τεχνική. Ενώ οι στεγανογραφικές τεχνικές, κοινώς γνωστές ως «Stego», είναι γνωστές, η κατανόηση του ρόλου τους στην αμυντική αποφυγή είναι ζωτικής σημασίας για την ανάπτυξη αποτελεσματικών άμυνες έναντι τέτοιων τακτικών.

Το IDAT Loader μοιράζεται DNA με κακόβουλο λογισμικό Hijack Loader

Το IDAT Loader, το οποίο μοιράζεται ομοιότητες με μια άλλη οικογένεια φορτωτών που ονομάζεται Hijack Loader, έχει χρησιμοποιηθεί για την παράδοση διαφόρων ωφέλιμων φορτίων, συμπεριλαμβανομένων των DanaBot, SystemBC και RedLine Stealer τους τελευταίους μήνες. Επιπλέον, ο φορτωτής έχει χρησιμοποιηθεί από έναν παράγοντα απειλής γνωστό ως TA544 για τη διάδοση του Remcos RAT και του SystemBC μέσω επιθέσεων phishing.

Η εκστρατεία phishing, που αποκαλύφθηκε αρχικά από την CERT-UA στις αρχές Ιανουαρίου 2024, περιλαμβάνει τη χρήση δολωμάτων με θέμα τον πόλεμο για την έναρξη μιας αλυσίδας μόλυνσης. Αυτή η αλυσίδα οδηγεί τελικά στην ανάπτυξη του IDAT Loader, ο οποίος στη συνέχεια χρησιμοποιεί ένα ενσωματωμένο steganographic PNG για τον εντοπισμό και την εξαγωγή του Remcos RAT.

Σε μια σχετική εξέλιξη, η CERT-UA αποκάλυψε ότι οι αμυντικές δυνάμεις στη χώρα έχουν στοχοποιηθεί μέσω της εφαρμογής άμεσων μηνυμάτων Signal. Σε αυτό το σενάριο, οι εισβολείς διανέμουν ένα έγγραφο του Microsoft Excel που έχει παγιδευτεί με εκρήξεις, εκτελώντας το COOKBOX, ένα κακόβουλο λογισμικό που βασίζεται στο PowerShell, το οποίο μπορεί να φορτώνει και να εκτελεί cmdlet. Αυτή η δραστηριότητα έχει αποδοθεί σε ένα σύμπλεγμα που αναφέρεται ως UAC-0149.