Погрузчик IDAT нанес удар по украинским объектам в Финляндии

Украинские предприятия, расположенные в Финляндии, стали жертвами вредоносной кампании по распространению коммерческого трояна удаленного доступа, известного как Remcos RAT. В этой кампании используется загрузчик вредоносного ПО под названием IDAT Loader. К атаке причастен ответственный субъект угрозы, которого Служба реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) определила как UAC-0184.

Исследователь Morphisec Михаил Деревяшкин в отчете, предоставленном The Hacker News, подчеркнул, что атака, являющаяся компонентом IDAT Loader, использует в качестве метода стеганографию. Хотя стеганографические методы, широко известные как «Стего», известны, понимание их роли в уклонении от защиты имеет решающее значение для разработки эффективной защиты от такой тактики.

IDAT Loader разделяет ДНК с вредоносным ПО Hijack Loader

IDAT Loader, который имеет сходство с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для доставки различных полезных данных, включая DanaBot, SystemBC и RedLine Stealer. Кроме того, загрузчик использовался злоумышленником, известным как TA544, для распространения Remcos RAT и SystemBC посредством фишинговых атак.

Фишинговая кампания, первоначально раскрытая CERT-UA в начале января 2024 года, предполагает использование приманок на военную тематику для инициирования цепочки заражения. Эта цепочка в конечном итоге приводит к развертыванию IDAT Loader, который затем использует встроенный стеганографический PNG для обнаружения и извлечения Remcos RAT.

CERT-UA также сообщил, что силы обороны страны подверглись нападению через приложение для обмена мгновенными сообщениями Signal. В этом сценарии злоумышленники распространяют заминированный документ Microsoft Excel, запуская COOKBOX, вредоносное ПО на основе PowerShell, способное загружать и выполнять командлеты. Эту активность приписывают кластеру под названием UAC-0149.