IDAT krautuvas smogė Ukrainos taikiniams Suomijoje

Ukrainos subjektai, esantys Suomijoje, tapo kenkėjiškos kampanijos, apimančios komercinės nuotolinės prieigos Trojos arklys, žinomą kaip Remcos RAT, aukomis. Šioje kampanijoje naudojamas kenkėjiškų programų įkroviklis, pavadintas IDAT Loader. Atsakingas grėsmės veikėjas, kurį Ukrainos kompiuterinių avarijų reagavimo komanda (CERT-UA) nurodė kaip UAC-0184, buvo susijęs su ataka.

„Morphisec“ tyrinėtojas Michaelas Dereviashkinas ataskaitoje, kuri buvo pasidalinta su „The Hacker News“, pabrėžė, kad atakoje, kuri yra IDAT Loader komponentas, naudojama steganografija kaip technika. Nors steganografijos metodai, paprastai žinomi kaip „Stego“, yra žinomi, norint sukurti veiksmingą apsaugą nuo tokios taktikos, labai svarbu suprasti jų vaidmenį vengiant gynybos.

„IDAT Loader“ bendrina DNR su „Hjack Loader“ kenkėjiška programa

„IDAT Loader“, kuri turi panašumų su kita krautuvų šeima, vadinama „Hijack Loader“, pastaraisiais mėnesiais buvo naudojama įvairiems naudingiems kroviniams pristatyti, įskaitant „DanaBot“, „SystemBC“ ir „RedLine Stealer“. Be to, įkroviklį panaudojo grėsmės veikėjas, žinomas kaip TA544, kad platintų Remcos RAT ir SystemBC per sukčiavimo atakas.

Sukčiavimo kampanija, kurią CERT-UA iš pradžių paskelbė 2024 m. sausio pradžioje, apima karo tematikos jaukų naudojimą infekcijos grandinei inicijuoti. Ši grandinė galiausiai veda į IDAT Loader diegimą, kuris vėliau naudoja įterptąjį steganografinį PNG, kad surastų ir ištrauktų Remcos RAT.

Susijusioje plėtroje CERT-UA atskleidė, kad šalies gynybos pajėgos buvo nukreiptos per momentinių pranešimų programą „Signal“. Pagal šį scenarijų užpuolikai platina įstrigusį „Microsoft Excel“ dokumentą, vykdydami COOKBOX – „PowerShell“ pagrindu veikiančią kenkėjišką programą, galinčią įkelti ir vykdyti cmdlet. Ši veikla buvo priskirta grupei, vadinamai UAC-0149.