Търсене
Close this search box.

Хакерска група, проследена като „UAC-0184“, е забелязана да използва стеганографски файлове с изображения, за да достави троянеца за отдалечен достъп (RAT) Remcos в системите на украинска организация, работеща във Финландия.

UAC-0184 са хакери, които Trend Micro видя да извършват атаки в края на 2023 г. срещу въоръжените сили на Украйна, използвайки същия зловреден софтуер.

Последната дейност на групата за заплахи, започнала в началото на януари 2024 г. и забелязана от анализаторите на Morphisec, показва, че те са разширили дейността си и са се насочили към организации извън Украйна, които са свързани със стратегическата им цел.

Morphisec предпочете да не предоставя техническа информация или конкретни подробности за жертвата поради конфиденциалност, но все пак сподели някои данни за използваните методи за атака.

Използване на изображения за зареждане на зловреден софтуер

Стеганографията е добре документирана, но рядко срещана тактика, която включва кодиране на зловреден код в пикселните данни на изображенията, за да се избегне откриването им от решения, използващи правила, базирани на сигнатури.

Обикновено малките парчета за зареждане в пикселите на изображението не водят до променен външен вид на изображението, но в случая, наблюдаван от Morphisec, изображението изглежда видимо изкривено.

Malicious PNG image containing embedded code
Зловредно PNG изображение, съдържащо вграден код (Morphisec)

Това изкривяване обаче би било пагубно за нападателите само в случай на ръчна проверка, а ако приемем, че такава няма, то все още работи за избягване на откриването от автоматизираните продукти за сигурност.

Веригата на атаката, наблюдавана от Morphisec, започва с внимателно изработен фишинг имейл, за който се предполага, че е от 3-та отделна щурмова бригада на Украйна или от Израелските сили за отбрана.

Измамените получатели, които отварят прикачения файл с шорткът, задействат веригата на заразяване, която стартира изпълним файл (DockerSystem_Gzv3.exe), който на свой ред активира  модул за зареждане на зловреден софтуер на име „IDAT“.

„Отличаващ се със своята модулна архитектура, IDAT използва уникални функции като модули за инжектиране и изпълнение на код, което го отличава от конвенционалните зареждащи устройства“, описва Morphisec.

„Той използва сложни техники като динамично зареждане на функции на Windows API, тестове за HTTP свързаност, списъци с блокирани процеси и syscalls, за да избегне откриването.“

За да останат скрити, API повикванията не се записват в кода под формата на обикновен текст, а се разрешават по време на изпълнение с помощта на ключ за декриптиране, който е част от веригата на атаката.

IDAT извлича кодирания полезен товар, който е вграден в злонамерения PNG файл с изображение, след което го декриптира и изпълнява в паметта – процес, който включва множество етапи и допълнителни модули, които са инжектирани в легитимни процеси (Explorer.exe) и DLL файлове (PLA.dll).

Overview of the UAC-0184 attack
Преглед на атаката UAC-0184 (Morphisec)

Последният етап включва декриптиране и изпълнение на Remcos RAT – стоков зловреден софтуер, който хакерите използват като задна врата в компрометирани системи, позволявайки скрита кражба на данни и наблюдение на дейността на жертвата.

От Morphisec твърдят, че IDAT доставя и зловреден софтуер като Danabot, SystemBC и RedLine Stealer, но не е ясно дали тези фамилии са били забелязани в базираните във Финландия компютри или в различни атаки.

Пълният списък на индикаторите за компрометиране (IoC) за тази кампания можете да намерите в този доклад на CERT-UA.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
17/11/2024

10- те най- големи киберата...

Най-големите кибератаки и нарушения на сигурността...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!