Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

skaner2222 · 06.03.2024, 17:16

Зображення PNG - новий спосіб доставки троянів на комп'ютери організацій
Remcos знайшов метод поширення через потайний завантажувач IDAT Loader.

Згідно з звітом Morphisec, українські організації, що базуються у Фінляндії, стали об'єктами шкідливої кампанії з розповсюдження трояна Remcos RAT. Атаку було приписано угрупованню UAC-0184.

Троян віддаленого доступу Remcos RAT (Remote Access Trojan, RAT) доставляється за допомогою завантажувача IDAT Loader. Фішингова кампанія передбачає використання приманок на військову тематику як відправна точка для запуску ланцюжка зараження, що призводить до розгортання IDAT Loader, який, у свою чергу, використовує вбудований алгоритм стеганографії PNG-зображень, щоб знайти та витягти Remcos RAT. Remcos RAT дозволяє зловмисникові контролювати заражений комп'ютер, викрадати особисту інформацію та спостерігати за діями жертви.

Ланцюжок зараження Remcos RAT

В ході атаки використовувалися фішингові листи, маскуючись під повідомлення від Ізраїльських оборонних сил, і застосовувала складні методи доставки шкідливого ПЗ, включаючи динамічне завантаження функцій Windows API, перевірки підключення до Інтернету та обхід списків блокування процесів.

IDAT Loader, що відрізняється модульною архітектурою та унікальними від інших завантажувачів функціями, у тому числі функцією ін'єкції коду, раніше був використаний для поширення сімейств шкідливих програм DanaBot, SystemBC та RedLine Stealer. У виявленій кампанії модулі IDAT були вбудовані безпосередньо в файл, що виконується, що є відмінною рисою від звичайної практики скачування з віддаленого сервера.

У дослідженні також розглядаються техніки захисту від виявлення з використанням стеганографії та Module Stomping – техніки, що дозволяє шкідливому коду ухилятися від виявлення антивірусними рішеннями за рахунок ін'єкції до легітимних бібліотек.

IDAT Loader перетинається з іншим сімейством завантажувачів під назвою HijackLoader, який був уперше помічений у липні 2023 року та дозволяє доставляти корисні навантаження DanaBot, SystemBC та RedLine Stealer. Незважаючи на відсутність сучасних функцій, завантажувач використовує модульну архітектуру для ін'єкції та виконання коду, що є рідкістю для більшості завантажувачів.

06.03.2024, 17:16	#160
skaner2222 Модератор Регистрация: 09.02.2016 Ресивер: Sat-Integral S-1248 Heavy Metal Dolby AC3 Адрес: Украина Винницкая область. Сообщений: 2,826 Сказал(а) спасибо: 9,194 Поблагодарили 5,892 раз(а) в 2,301 сообщениях Вес репутации: 65	Зображення PNG - новий спосіб доставки троянів на комп'ютери організацій Remcos знайшов метод поширення через потайний завантажувач IDAT Loader. Згідно з звітом Morphisec, українські організації, що базуються у Фінляндії, стали об'єктами шкідливої кампанії з розповсюдження трояна Remcos RAT. Атаку було приписано угрупованню UAC-0184. Троян віддаленого доступу Remcos RAT (Remote Access Trojan, RAT) доставляється за допомогою завантажувача IDAT Loader. Фішингова кампанія передбачає використання приманок на військову тематику як відправна точка для запуску ланцюжка зараження, що призводить до розгортання IDAT Loader, який, у свою чергу, використовує вбудований алгоритм стеганографії PNG-зображень, щоб знайти та витягти Remcos RAT. Remcos RAT дозволяє зловмисникові контролювати заражений комп'ютер, викрадати особисту інформацію та спостерігати за діями жертви. Ланцюжок зараження Remcos RAT В ході атаки використовувалися фішингові листи, маскуючись під повідомлення від Ізраїльських оборонних сил, і застосовувала складні методи доставки шкідливого ПЗ, включаючи динамічне завантаження функцій Windows API, перевірки підключення до Інтернету та обхід списків блокування процесів. IDAT Loader, що відрізняється модульною архітектурою та унікальними від інших завантажувачів функціями, у тому числі функцією ін'єкції коду, раніше був використаний для поширення сімейств шкідливих програм DanaBot, SystemBC та RedLine Stealer. У виявленій кампанії модулі IDAT були вбудовані безпосередньо в файл, що виконується, що є відмінною рисою від звичайної практики скачування з віддаленого сервера. У дослідженні також розглядаються техніки захисту від виявлення з використанням стеганографії та Module Stomping – техніки, що дозволяє шкідливому коду ухилятися від виявлення антивірусними рішеннями за рахунок ін'єкції до легітимних бібліотек. IDAT Loader перетинається з іншим сімейством завантажувачів під назвою HijackLoader, який був уперше помічений у липні 2023 року та дозволяє доставляти корисні навантаження DanaBot, SystemBC та RedLine Stealer. Незважаючи на відсутність сучасних функцій, завантажувач використовує модульну архітектуру для ін'єкції та виконання коду, що є рідкістю для більшості завантажувачів. __________________ І досвід, син помилок важких, І геній, парадоксів друг, І випадок, бог винахідник