IDAT 裝載機襲擊芬蘭境內的烏克蘭目標

位於芬蘭的烏克蘭實體已成為惡意活動的受害者，該活動涉及分發名為 Remcos RAT 的商業遠端存取木馬。該活動利用了名為 IDAT Loader 的惡意軟體載入程式。烏克蘭電腦緊急應變小組 (CERT-UA) 確認，責任威脅行為者為 UAC-0184，與此攻擊有關。

Morphisec 研究員 Michael Dereviashkin 在與 The Hacker News 分享的報告中強調，這次攻擊是 IDAT Loader 的一個組件，採用了隱寫術作為一種技術。雖然隱寫技術（通常稱為“Stego”）很常見，但理解它們在防禦規避中的作用對於開發針對此類策略的有效防禦至關重要。

IDAT Loader 與 Hijack Loader 惡意軟體共享 DNA

IDAT Loader 與另一個名為 Hijack Loader 的加載器系列有相似之處，近幾個月來已被用來交付各種有效負載，包括 DanaBot、SystemBC 和 RedLine Stealer。此外，該載入程式還被名為 TA544 的威脅參與者利用，透過網路釣魚攻擊傳播 Remcos RAT 和 SystemBC。

這項網路釣魚活動最初由 CERT-UA 於 2024 年 1 月初披露，涉及使用戰爭主題的誘餌來啟動感染鏈。該鏈最終導致 IDAT Loader 的部署，然後利用嵌入式隱寫 PNG 來定位和提取 Remcos RAT。

在相關進展中，CERT-UA 透露，該國的國防軍已透過 Signal 即時通訊應用程式成為攻擊目標。在這種情況下，攻擊者分發了一個誘殺 Microsoft Excel 文檔，執行 COOKBOX，這是一種基於 PowerShell 的惡意軟體，能夠載入和執行 cmdlet。此活動歸因於一個名為 UAC-0149 的群集。