Az IDAT Loader ukrán célpontokat mér Finnországban

A Finnországban található ukrán szervezetek egy rosszindulatú kampány áldozataivá váltak, amely egy Remcos RAT néven ismert kereskedelmi távoli hozzáférésű trójai terjesztését foglalja magában. Ez a kampány egy IDAT Loader nevű rosszindulatú programbetöltőt használ. A fenyegetés felelős szereplőjét, akit az ukrán Computer Emergency Response Team (CERT-UA) UAC-0184 néven azonosított, kapcsolatba hozták a támadással.

A Morphisec kutatója, Michael Dereviashkin a The Hacker News-nak megosztott jelentésében kiemelte, hogy a támadás, az IDAT Loader egyik összetevője, szteganográfiát alkalmaz technikaként. Míg a szteganográfiai technikák, közismert nevén „Stego”, ismertek, a védekezésben betöltött szerepük megértése kulcsfontosságú az ilyen taktikák elleni hatékony védekezés kialakításához.

Az IDAT Loader megosztja a DNS-t a Hijack Loader malware-rel

Az IDAT Loader, amely hasonlóságot mutat egy másik, Hijack Loader nevű betöltőcsaláddal, különféle hasznos terhelések szállítására szolgált, beleértve a DanaBotot, a SystemBC-t és a RedLine Stealert az elmúlt hónapokban. Ezenkívül a betöltőt egy TA544 néven ismert fenyegetőszerep használta a Remcos RAT és SystemBC terjesztésére adathalász támadásokon keresztül.

Az adathalász kampány, amelyet a CERT-UA kezdetben 2024. január elején tett közzé, háborús témájú csalik használatát foglalja magában a fertőzési lánc elindítására. Ez a lánc végül az IDAT Loader telepítéséhez vezet, amely egy beágyazott szteganográfiai PNG-t használ a Remcos RAT megkeresésére és kibontására.

Egy kapcsolódó fejlesztés során a CERT-UA felfedte, hogy az ország védelmi erőit célba vették a Signal azonnali üzenetküldő alkalmazáson keresztül. A támadók ebben a forgatókönyvben egy csapdába esett Microsoft Excel-dokumentumot terjesztenek, és végrehajtják a COOKBOX-ot, egy PowerShell-alapú kártevőt, amely parancsmagok betöltésére és végrehajtására képes. Ezt a tevékenységet az UAC-0149-nek nevezett fürtnek tulajdonították.