Az IDAT Loader ukrán célpontokat mér Finnországban

A Finnországban található ukrán szervezetek egy rosszindulatú kampány áldozataivá váltak, amely egy Remcos RAT néven ismert kereskedelmi távoli hozzáférésű trójai terjesztését foglalja magában. Ez a kampány egy IDAT Loader nevű rosszindulatú programbetöltőt használ. A fenyegetés felelős szereplőjét, akit az ukrán Computer Emergency Response Team (CERT-UA) UAC-0184 néven azonosított, kapcsolatba hozták a támadással.

A Morphisec kutatója, Michael Dereviashkin a The Hacker News-nak megosztott jelentésében kiemelte, hogy a támadás, az IDAT Loader egyik összetevője, szteganográfiát alkalmaz technikaként. Míg a szteganográfiai technikák, közismert nevén „Stego”, ismertek, a védekezésben betöltött szerepük megértése kulcsfontosságú az ilyen taktikák elleni hatékony védekezés kialakításához.

Az IDAT Loader megosztja a DNS-t a Hijack Loader malware-rel

Az IDAT Loader, amely hasonlóságot mutat egy másik, Hijack Loader nevű betöltőcsaláddal, különféle hasznos terhelések szállítására szolgált, beleértve a DanaBotot, a SystemBC-t és a RedLine Stealert az elmúlt hónapokban. Ezenkívül a betöltőt egy TA544 néven ismert fenyegetőszerep használta a Remcos RAT és SystemBC terjesztésére adathalász támadásokon keresztül.

Az adathalász kampány, amelyet a CERT-UA kezdetben 2024. január elején tett közzé, háborús témájú csalik használatát foglalja magában a fertőzési lánc elindítására. Ez a lánc végül az IDAT Loader telepítéséhez vezet, amely egy beágyazott szteganográfiai PNG-t használ a Remcos RAT megkeresésére és kibontására.

Egy kapcsolódó fejlesztés során a CERT-UA felfedte, hogy az ország védelmi erőit célba vették a Signal azonnali üzenetküldő alkalmazáson keresztül. A támadók ebben a forgatókönyvben egy csapdába esett Microsoft Excel-dokumentumot terjesztenek, és végrehajtják a COOKBOX-ot, egy PowerShell-alapú kártevőt, amely parancsmagok betöltésére és végrehajtására képes. Ezt a tevékenységet az UAC-0149-nek nevezett fürtnek tulajdonították.

February 27, 2024
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.