被追踪为 UAC-0184 的威胁行为者一直在使用隐写术技术,通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰目标传送 Remcos 远程访问木马 (RAT)。
初始目标是乌克兰境内的实体,但由于防御措施阻止了有效载荷的交付,导致寻找替代目标。
与此同时,据称还有与 UAC-0148 相关的并行活动,使用电子邮件和鱼叉式网络钓鱼作为初始访问媒介,以乌克兰军事人员为目标,以提供军事咨询为诱饵。活动的目标是进行网络间谍活动,利用 Remcos RAT 未经授权地访问受害者的计算机,控制受感染的系统,窃取敏感信息以及执行命令。
IDAT Loader:新的 Remcos RAT 感染例程
1月份发现了一项新活动,利用嵌套感染方式,从代码标记为“racon”的新用户代理开始。该代码获取第二阶段有效负载并执行连接检查和活动分析。研究人员确认这个有效负载为IDAT Loader(又名HijackLoader),是一种高级加载程序,与多个恶意软件家族相关联,于2023年底首次被观察到。
IDAT Loader将Remcos RAT代码隐藏在PNG图像文件的IDAT块中,这是便携式网络图形图像文件格式的一部分。攻击者利用隐写术将恶意负载藏在图像文件中,即使文件经过扫描,编码的恶意有效负载也难以被检测到。用户下载的最初文件是一个名为DockerSystem_Gzv3.exe的可执行文件,伪装成软件安装包。执行此文件会触发后续的攻击阶段。
RAT 恶意软件巢穴激增
Remcos RAT 越来越多地使用创造性技术进行部署。例如,今年早些时候,研究人员发现了一个被追踪为 UNC-0050 的威胁行为者,该行为者因多次使用 Remcos RAT 攻击乌克兰的组织而闻名,并使用罕见的数据传输策略针对该国政府发起了一次攻击。
与此同时,价格低于 100 美元的廉价恶意软件“套餐”的增加正在推动利用 RAT 的活动增加,这些 RAT 经常隐藏在电子邮件附加的看似合法的 Excel 和 PowerPoint 文件中。
去年,Remcos RAT 间谍软件还被发现利用旧的 Windows UAC 绕过技术来针对东欧的组织,去年 3 月和 4 月在美国报税截止日期之前针对会计师的活动中也发现了 Remcos RAT 间谍软件。
Morphisec 研究人员告诉 Dark Reading:“正如在最新攻击中观察到的那样,威胁行为者越来越多地使用防御规避技术来绕过签名检测和基于行为的端点保护解决方案。” “在这种情况下,我们观察到隐写术和内存注入作为规避技术的结合使用。”
他们补充说,“因此,安全领导者应该考虑威胁形势的这些变化,并考虑采用可以通过减少此类潜在攻击的暴露来增强深度防御的解决方案。”
转自安全客,原文链接:https://www.anquanke.com/post/id/293466
暂无评论内容