IDAT-lader treft Oekraïense doelen in Finland

Oekraïense entiteiten in Finland zijn het slachtoffer geworden van een kwaadaardige campagne die betrekking heeft op de distributie van een commerciële trojan voor externe toegang, bekend als Remcos RAT. Deze campagne maakt gebruik van een malware-lader genaamd IDAT Loader. De verantwoordelijke dreigingsactor, door het Computer Emergency Response Team van Oekraïne (CERT-UA) geïdentificeerd als UAC-0184, is in verband gebracht met de aanval.

Morphisec-onderzoeker Michael Dereviashkin benadrukte in een rapport gedeeld met The Hacker News dat de aanval, een onderdeel van de IDAT Loader, steganografie als techniek gebruikt. Hoewel steganografische technieken, algemeen bekend als 'Stego', bekend zijn, is het begrijpen van hun rol bij het ontwijken van verdediging cruciaal voor het ontwikkelen van effectieve verdedigingen tegen dergelijke tactieken.

IDAT Loader deelt DNA met Hijack Loader-malware

IDAT Loader, dat overeenkomsten vertoont met een andere laderfamilie genaamd Hijack Loader, is de afgelopen maanden ingezet om verschillende payloads te leveren, waaronder DanaBot, SystemBC en RedLine Stealer. Bovendien is de lader gebruikt door een bedreigingsacteur die bekend staat als TA544 om Remcos RAT en SystemBC te verspreiden via phishing-aanvallen.

De phishing-campagne, die begin januari 2024 voor het eerst werd onthuld door CERT-UA, omvat het gebruik van kunstaas met een oorlogsthema om een infectieketen op gang te brengen. Deze keten leidt uiteindelijk tot de inzet van IDAT Loader, die vervolgens een ingebedde steganografische PNG gebruikt om Remcos RAT te lokaliseren en te extraheren.

In een verwante ontwikkeling onthulde CERT-UA dat defensietroepen in het land het doelwit waren via de instant messaging-app Signal. In dit scenario verspreiden de aanvallers een Microsoft Excel-document met een valstrik, waarbij ze COOKBOX uitvoeren, een op PowerShell gebaseerde malware die cmdlets kan laden en uitvoeren. Deze activiteit is toegeschreven aan een cluster genaamd UAC-0149.