IDAT Loader slår till ukrainska mål i Finland

Ukrainska enheter belägna i Finland har fallit offer för en skadlig kampanj som involverar distribution av en kommersiell fjärråtkomsttrojan känd som Remcos RAT. Den här kampanjen använder en skadlig programvara som heter IDAT Loader. Den ansvariga hotaktören, identifierad av Computer Emergency Response Team of Ukraine (CERT-UA) som UAC-0184, har kopplats till attacken.

Morphisec-forskaren Michael Dereviashkin, i en rapport som delas med The Hacker News, betonade att attacken, en komponent i IDAT Loader, använder steganografi som en teknik. Även om steganografiska tekniker, allmänt känd som "Stego", är bekanta, är det avgörande att förstå deras roll i försvarsflykt för att utveckla effektiva försvar mot sådan taktik.

IDAT Loader delar DNA med Hijack Loader Malware

IDAT Loader, som delar likheter med en annan lastarfamilj kallad Hijack Loader, har använts för att leverera olika nyttolaster, inklusive DanaBot, SystemBC och RedLine Stealer de senaste månaderna. Dessutom har laddaren använts av en hotaktör känd som TA544 för att sprida Remcos RAT och SystemBC genom nätfiskeattacker.

Nätfiskekampanjen, som ursprungligen avslöjades av CERT-UA i början av januari 2024, involverar användningen av beten med krigstema för att initiera en infektionskedja. Denna kedja leder slutligen till utplaceringen av IDAT Loader, som sedan använder en inbäddad steganografisk PNG för att lokalisera och extrahera Remcos RAT.

I en relaterad utveckling avslöjade CERT-UA att försvarsstyrkor i landet har blivit måltavlor genom appen Signal för snabbmeddelanden. Angriparna distribuerar ett booby-fällt Microsoft Excel-dokument i detta scenario och kör COOKBOX, en PowerShell-baserad skadlig programvara som kan ladda och köra cmdlets. Denna aktivitet har tillskrivits ett kluster som kallas UAC-0149.