Хакерска група, проследена като „UAC-0184“, е забелязана да използва стеганографски файлове с изображения, за да достави троянеца за отдалечен достъп (RAT) Remcos в системите на украинска организация, работеща във Финландия.
UAC-0184 са хакери, които Trend Micro видя да извършват атаки в края на 2023 г. срещу въоръжените сили на Украйна, използвайки същия зловреден софтуер.
Последната дейност на групата за заплахи, започнала в началото на януари 2024 г. и забелязана от анализаторите на Morphisec, показва, че те са разширили дейността си и са се насочили към организации извън Украйна, които са свързани със стратегическата им цел.
Morphisec предпочете да не предоставя техническа информация или конкретни подробности за жертвата поради конфиденциалност, но все пак сподели някои данни за използваните методи за атака.
Стеганографията е добре документирана, но рядко срещана тактика, която включва кодиране на зловреден код в пикселните данни на изображенията, за да се избегне откриването им от решения, използващи правила, базирани на сигнатури.
Обикновено малките парчета за зареждане в пикселите на изображението не водят до променен външен вид на изображението, но в случая, наблюдаван от Morphisec, изображението изглежда видимо изкривено.
Зловредно PNG изображение, съдържащо вграден код (Morphisec)
Това изкривяване обаче би било пагубно за нападателите само в случай на ръчна проверка, а ако приемем, че такава няма, то все още работи за избягване на откриването от автоматизираните продукти за сигурност.
Веригата на атаката, наблюдавана от Morphisec, започва с внимателно изработен фишинг имейл, за който се предполага, че е от 3-та отделна щурмова бригада на Украйна или от Израелските сили за отбрана.
Измамените получатели, които отварят прикачения файл с шорткът, задействат веригата на заразяване, която стартира изпълним файл (DockerSystem_Gzv3.exe), който на свой ред активира модул за зареждане на зловреден софтуер на име „IDAT“.
„Отличаващ се със своята модулна архитектура, IDAT използва уникални функции като модули за инжектиране и изпълнение на код, което го отличава от конвенционалните зареждащи устройства“, описва Morphisec.
„Той използва сложни техники като динамично зареждане на функции на Windows API, тестове за HTTP свързаност, списъци с блокирани процеси и syscalls, за да избегне откриването.“
За да останат скрити, API повикванията не се записват в кода под формата на обикновен текст, а се разрешават по време на изпълнение с помощта на ключ за декриптиране, който е част от веригата на атаката.
IDAT извлича кодирания полезен товар, който е вграден в злонамерения PNG файл с изображение, след което го декриптира и изпълнява в паметта – процес, който включва множество етапи и допълнителни модули, които са инжектирани в легитимни процеси (Explorer.exe) и DLL файлове (PLA.dll).
Преглед на атаката UAC-0184 (Morphisec)
Последният етап включва декриптиране и изпълнение на Remcos RAT – стоков зловреден софтуер, който хакерите използват като задна врата в компрометирани системи, позволявайки скрита кражба на данни и наблюдение на дейността на жертвата.
От Morphisec твърдят, че IDAT доставя и зловреден софтуер като Danabot, SystemBC и RedLine Stealer, но не е ясно дали тези фамилии са били забелязани в базираните във Финландия компютри или в различни атаки.
Пълният списък на индикаторите за компрометиране (IoC) за тази кампания можете да намерите в този доклад на CERT-UA.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.