IDATローダーがフィンランドでウクライナの標的を攻撃

フィンランドに拠点を置くウクライナの組織が、Remcos RAT として知られる商用リモート アクセス トロイの木馬の配布を伴う悪意のあるキャンペーンの被害に遭いました。このキャンペーンでは、IDAT Loader という名前のマルウェア ローダーが利用されます。ウクライナのコンピュータ緊急対応チーム (CERT-UA) によって UAC-0184 として特定された攻撃者が、この攻撃に関与しているとされています。

Morphisec 研究者の Michael Dereviashkin 氏は、The Hacker News と共有したレポートの中で、IDAT Loader のコンポーネントであるこの攻撃が手法としてステガノグラフィーを使用していることを強調しました。一般に「ステゴ」として知られるステガノグラフィー手法はよく知られていますが、防御回避におけるその役割を理解することは、そのような戦術に対する効果的な防御を開発するために非常に重要です。

IDAT ローダーがハイジャック ローダー マルウェアと DNA を共有

IDAT Loader は、Hijack Loader と呼ばれる別のローダー ファミリと類似点があり、ここ数カ月間、DanaBot、SystemBC、RedLine Stealer などのさまざまなペイロードを配信するために採用されてきました。さらに、このローダーは、フィッシング攻撃を通じて Remcos RAT と SystemBC を広めるために、TA544 として知られる脅威アクターによって利用されています。

2024 年 1 月初旬に CERT-UA によって最初に明らかにされたこのフィッシング キャンペーンには、感染連鎖を開始するために戦争をテーマにしたおとりが使用されていました。このチェーンは最終的に IDAT Loader の展開につながり、埋め込まれたステガノグラフィー PNG を利用して Remcos RAT を見つけて抽出します。

関連する展開として、CERT-UAは、インスタントメッセージングアプリ「Signal」を通じて国内の国防軍が標的にされていることを明らかにした。このシナリオでは、攻撃者はブービートラップされた Microsoft Excel ドキュメントを配布し、コマンドレットをロードして実行できる PowerShell ベースのマルウェアである COOKBOX を実行します。このアクティビティは、UAC-0149 と呼ばれるクラスターに起因すると考えられています。