Ładowarka IDAT uderza w ukraińskie cele w Finlandii

Ukraińskie podmioty zlokalizowane w Finlandii padły ofiarą złośliwej kampanii polegającej na dystrybucji komercyjnego trojana zdalnego dostępu znanego jako Remcos RAT. Ta kampania wykorzystuje moduł ładujący złośliwe oprogramowanie o nazwie IDAT Loader. Z atakiem powiązano osobę odpowiedzialną za zagrożenie, zidentyfikowaną przez ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) jako UAC-0184.

Badacz Morphisec, Michael Dereviashkin, w raporcie udostępnionym The Hacker News podkreślił, że atak, będący komponentem modułu ładującego IDAT, wykorzystuje steganografię jako technikę. Chociaż techniki steganograficzne, powszechnie znane jako „Stego”, są znane, zrozumienie ich roli w unikaniu obrony ma kluczowe znaczenie dla opracowania skutecznej obrony przed takimi taktykami.

Program ładujący IDAT ma wspólne DNA ze złośliwym oprogramowaniem Hijack Loader

IDAT Loader, który ma podobieństwa z inną rodziną programów ładujących o nazwie Hijack Loader, był w ostatnich miesiącach wykorzystywany do dostarczania różnych ładunków, w tym DanaBot, SystemBC i RedLine Stealer. Ponadto moduł ładujący został wykorzystany przez ugrupowanie zagrożenia znane jako TA544 do rozpowszechniania programów Remcos RAT i SystemBC poprzez ataki phishingowe.

Kampania phishingowa, pierwotnie ujawniona przez CERT-UA na początku stycznia 2024 r., polega na wykorzystaniu przynęt o tematyce wojennej w celu zainicjowania łańcucha infekcji. Łańcuch ten ostatecznie prowadzi do wdrożenia modułu ładującego IDAT, który następnie wykorzystuje osadzony steganograficzny plik PNG w celu zlokalizowania i wyodrębnienia Remcos RAT.

W ramach powiązanego wydarzenia CERT-UA ujawniło, że siły obronne w tym kraju stały się celem za pośrednictwem aplikacji do przesyłania wiadomości błyskawicznych Signal. W tym scenariuszu osoby atakujące rozpowszechniają dokument Microsoft Excel będący pułapką-pułapką, uruchamiając COOKBOX, szkodliwe oprogramowanie oparte na programie PowerShell, które może ładować i wykonywać polecenia cmdlet. Aktywność tę przypisano klastrowi określanemu jako UAC-0149.