Μια ομάδα χάκερ με την ονομασία ‘UAC-0184‘ χρησιμοποιεί κρυπτογραφημένα αρχεία εικόνας για να εισάγει το Remcos RAT στα συστήματα ενός Ουκρανικού φορέα που λειτουργεί στη Φινλανδία, μέσω του IDAT loader.
Δείτε επίσης: Ρωσία: Το Konni RAT διαδίδεται από το λογισμικό της κυβέρνησης
Η ομάδα UAC-0184 εντοπίστηκε από την Trend Micro να πραγματοποιεί επιθέσεις στις Ένοπλες Δυνάμεις της Ουκρανίας στα τέλη του 2023, χρησιμοποιώντας επίσης το ίδιο malware.
Η πιο πρόσφατη δραστηριότητα της ομάδας, η οποία ξεκίνησε στις αρχές του Ιανουαρίου 2024 και εντοπίστηκε από αναλυτές της Morphisec, δείχνει ότι έχουν επεκτείνει τις επιθέσεις τους για να στοχεύσουν οργανισμούς έξω από την Ουκρανία που σχετίζονται με τον στρατηγικό τους στόχο.
Η Morphisec επέλεξε να μην παρέχει τεχνικές πληροφορίες ή συγκεκριμένες λεπτομέρειες σχετικά με το θύμα λόγω εμπιστευτικότητας, αλλά μοιράστηκε παρόλα αυτά κάποια δεδομένα σχετικά με τις χρησιμοποιούμενες μεθόδους επίθεσης.
Χρήση εικόνων για τη φόρτωση κακόβουλου λογισμικού
Η στεγανογραφία είναι μια καλά τεκμηριωμένη αλλά σπάνια χρησιμοποιούμενη τακτική που περιλαμβάνει την κωδικοποίηση κακόβουλου κώδικα στα δεδομένα pixel των εικόνων για να αποφευχθεί η ανίχνευσή του, όπως στην περίπτωση του Remcos RAT και του IDAT loader.
Συνήθως, τα μικρά φορτία στα pixels της εικόνας δεν έχουν ως αποτέλεσμα μια αλλοιωμένη εμφάνιση της εικόνας, αλλά στην περίπτωση που είδε η Morphisec, η εικόνα φαίνεται ορατά παραμορφωμένη. Αυτή η παραμόρφωση ωστόσο, θα ήταν βλαβερή μόνο για τους επιτιθέμενους στην περίπτωση μη χειροκίνητου ελέγχου, και υποθέτοντας ότι δεν υπάρχει, εξακολουθεί να λειτουργεί για την αποφυγή ανίχνευσης από αυτόματα προϊόντα ασφαλείας.
Η αλυσίδα επίθεσης που παρατηρήθηκε από τη Morphisec ξεκινά με έναν προσεκτικά σχεδιασμένο email phishing, που φέρεται να προέρχεται από την Ukraine’s 3rd Separate Assault Brigade ή τις Ενόπλες Δυνάμεις του Ισραήλ.
Δείτε ακόμα: Το Remcos RAT διανέμεται μέσω παιχνιδιών για ενήλικες
Οι εξαπατημένοι παραλήπτες που ανοίγουν το συνημμένο αρχείο συντόμευσης, ενεργοποιούν μια αλυσίδα μόλυνσης που εκκινεί ένα εκτελέσιμο αρχείο, το οποίο με τη σειρά του ενεργοποιεί ένα loader κακόβουλου λογισμικού με την ονομασία ‘IDAT‘ για τη διάδοση του Remcos RAT.
Για να παραμείνει αόρατη, οι κλήσεις στο API δεν γράφονται στον κώδικα σε μορφή κειμένου, αλλά αντιθέτως επιλύονται κατά την εκτέλεση χρησιμοποιώντας ένα κλειδί αποκρυπτογράφησης που είναι μέρος της αλυσίδας επιθέσεων.
Η IDAT ανακτά το κωδικοποιημένο φορτίο που ενσωματώνεται στο κακόβουλο αρχείο εικόνας PNG και στη συνέχεια αποκρυπτογραφεί και το εκτελεί στη μνήμη, μια διαδικασία που περιλαμβάνει πολλά στάδια και πρόσθετα modules που ενθάρρυνονται σε νόμιμες διεργασίες (Explorer.exe) και αρχεία DLL (PLA.dll).
Η τελική φάση περιλαμβάνει την αποκρυπτογράφηση και εκτέλεση του Remcos RAT, ένα κοινό malware που οι χάκερ χρησιμοποιούν ως backdoor σε υποστηριζόμενα συστήματα, επιτρέποντας την αθόρυβη κλοπή δεδομένων και τον παρακολούθηση δραστηριότητας των θυμάτων.
Η Morphisec αναφέρει ότι το IDAT μεταφέρει επίσης κακόβουλο λογισμικό όπως το Danabot, το SystemBC και το RedLine Stealer, αλλά δεν είναι σαφές αν αυτές οι οικογένειες επηρέασαν υπολογιστές με έδρα στη Φινλανδία ή χρησιμοποιήθηκαν σε διαφορετικές επιθέσεις.
Δείτε επίσης: Κινέζοι hackers στοχεύουν το Ουζμπεκιστάν και τη Νότια Κορέα με το SugarGh0st RAT
Ποια εργαλεία χρησιμοποιούνται για την καταπολέμηση των RAT;
Για την καταπολέμηση των RAT, όπως το Remcos RAT που διαδίσεται μέσω του IDAT loader, τα προγράμματα antivirus είναι από τα πιο συνηθισμένα εργαλεία. Αυτά τα προγράμματα σαρώνουν τον υπολογιστή για την ανίχνευση και την αφαίρεση των RAT. Τα συστήματα προστασίας από εισβολές (IPS) είναι επίσης αποτελεσματικά εργαλεία. Αυτά τα συστήματα παρακολουθούν το δίκτυο για ύποπτη δραστηριότητα και μπορούν να αποκλείσουν την πρόσβαση σε γνωστές κακόβουλες διευθύνσεις IP. Τα εργαλεία ανάλυσης δικτύου μπορούν να χρησιμοποιηθούν για την ανίχνευση των RAT. Αυτά τα εργαλεία αναλύουν την κίνηση στο δίκτυο για να εντοπίσουν ασυνήθιστα μοτίβα που μπορεί να υποδηλώνουν την παρουσία ενός RAT. Τέλος, τα εργαλεία διαχείρισης ευπαθειών είναι ζωτικής σημασίας για την προστασία από τα RAT. Αυτά τα εργαλεία σαρώνουν το σύστημα για ευπάθειες που μπορεί να εκμεταλλευτεί ένα RAT και προτείνουν διορθώσεις για να κλείσουν αυτά τα κενά ασφαλείας.
Πηγή: bleepingcomputer
