IDAT Loader treffer ukrainske mål i Finland

Ukrainske enheter lokalisert i Finland har blitt offer for en ondsinnet kampanje som involverer distribusjon av en kommersiell fjerntilgangstrojan kjent som Remcos RAT. Denne kampanjen bruker en skadevarelaster kalt IDAT Loader. Den ansvarlige trusselaktøren, identifisert av Computer Emergency Response Team of Ukraine (CERT-UA) som UAC-0184, har blitt knyttet til angrepet.

Morphisec-forsker Michael Dereviashkin fremhevet i en rapport delt med The Hacker News at angrepet, en del av IDAT Loader, bruker steganografi som en teknikk. Mens steganografiske teknikker, ofte kjent som 'Stego', er kjente, er det avgjørende å forstå deres rolle i forsvarsunndragelse for å utvikle effektive forsvar mot slike taktikker.

IDAT Loader deler DNA med Hijack Loader Malware

IDAT Loader, som deler likheter med en annen lasterfamilie kalt Hijack Loader, har blitt brukt til å levere forskjellige nyttelaster, inkludert DanaBot, SystemBC og RedLine Stealer de siste månedene. I tillegg har lasteren blitt brukt av en trusselaktør kjent som TA544 for å spre Remcos RAT og SystemBC gjennom phishing-angrep.

Phishing-kampanjen, opprinnelig avslørt av CERT-UA tidlig i januar 2024, involverer bruk av krigstema lokker for å starte en infeksjonskjede. Denne kjeden fører til slutt til utplasseringen av IDAT Loader, som deretter bruker en innebygd steganografisk PNG for å finne og trekke ut Remcos RAT.

I en relatert utvikling avslørte CERT-UA at forsvarsstyrker i landet har blitt målrettet gjennom direktemeldingsappen Signal. Angriperne distribuerer et booby-fanget Microsoft Excel-dokument i dette scenariet, og kjører COOKBOX, en PowerShell-basert skadelig programvare som er i stand til å laste og kjøre cmdlets. Denne aktiviteten har blitt tilskrevet en klynge referert til som UAC-0149.