IDAT-Loader
Cybersicherheitsforscher haben eine Angriffskampagne entdeckt, die als Bedrohung für einen ukrainischen Trojaner namens Remcos RAT identifiziert wurde und durch einen Malware-Loader namens IDAT Loader unterstützt wird. Das Computer Emergency Response Team der Ukraine (CERT-UA), das den Bedrohungsakteur als UAC-0184 (TA544) verfolgt, hat den Angriff zugeschrieben.
Der Angriff, der mithilfe des IDAT Loader ausgeführt wird, nutzt Steganographie als Technik. Obwohl steganografische oder „Stego“-Techniken weithin anerkannt sind. Steganografische Techniken beinhalten das Verbergen von Informationen in einem anderen Medium, beispielsweise das Verstecken von Daten in Bildern, Audiodateien oder anderen digitalen Inhalten, um verdeckte Kommunikation zu ermöglichen, ohne Aufmerksamkeit zu erregen. Es ist von entscheidender Bedeutung, ihre Rolle bei der Umgehung von Verteidigungsmaßnahmen zu verstehen.
Inhaltsverzeichnis
Der IDAT Loader erleichtert die Bereitstellung von Malware-Payloads der nächsten Stufe
Der IDAT Loader, der Ähnlichkeiten mit einer anderen Loader-Familie namens Hijack Loader aufweist, hat über mehrere Monate aktiv verschiedene Nutzlasten bereitgestellt, darunter DanaBot , SystemBC und den RedLine Stealer . Dieser Loader wurde von einem als TA544 identifizierten Bedrohungsakteur verwendet, um Remcos RAT und SystemBC durch Phishing-Angriffe zu verbreiten.
Die Phishing-Kampagne, die erstmals Anfang Januar 2024 von CERT-UA bekannt gegeben wurde, beinhaltet den Einsatz von Ködern mit Kriegsmotiven, um eine Infektionskette zu initiieren. Diese Kette führt letztendlich zur Bereitstellung des IDAT Loader, der ein eingebettetes steganografisches PNG verwendet, um das Remcos RAT zu lokalisieren und zu extrahieren.
Die Remcos RAT wird häufig in Cyberkriminalitätskampagnen eingesetzt
Der REMCOS RAT ist ein weit verbreiteter Fernzugriffstrojaner, der sowohl bei Cyberkriminalität als auch bei Spionagebemühungen häufig eingesetzt wird. REMCOS ist bekannt für seine Fähigkeit, die Kontrolle über Computer zu übernehmen. Es kann Tastenanschläge, Audio- und Videodaten, Screenshots und Systemdaten sammeln und gleichzeitig die Bereitstellung zusätzlicher Malware-Payloads erleichtern. Typischerweise wird diese Malware über Phishing-E-Mails verbreitet, die bösartige Anhänge oder Links enthalten, was zur Installation des RAT führt. Insbesondere wurde beobachtet, dass REMCOS über verschiedene Wege verbreitet wird, darunter auch über Malware-Loader. Die Schadsoftware wird seit Mitte der 2010er Jahre in böswilliger Absicht eingesetzt.
Bei erfolgreicher Ausführung von REMCOS erhalten die Bedrohungsakteure umfassende Kontroll- und Überwachungsfähigkeiten über das Zielsystem. Dies ermöglicht es ihnen, vertrauliche Daten über einen längeren Zeitraum hinweg heimlich zu exfiltrieren und so möglicherweise einer Entdeckung zu entgehen. Die Nutzung solch sensibler Informationen birgt je nach Ziel das Risiko, dass Opfer erpresst werden, der Arbeitsplatz verloren geht, wenn Unternehmensdaten kompromittiert werden, und Unternehmensdaten gestohlen werden. Diese gestohlenen Daten könnten dann ausgenutzt werden, um groß angelegte, raffinierte Angriffe zu inszenieren, die zu schweren und möglicherweise irreparablen Schäden für die Lebensgrundlage der betroffenen Organisationen oder Einzelpersonen führen könnten.
Die Ukraine bleibt ein Ziel cyberkrimineller Angriffe durch mit Russland verbündete Hackergruppen
CERT-UA hat außerdem vor einem gezielten Cyberangriff gewarnt, der darauf abzielt, die Computersysteme der Streitkräfte der Ukraine mit der Cookbox-Hintertür zu infizieren.
Laut CERT-UA verteilte eine nicht identifizierte Person ein XLS-Dokument mit dem Namen „1_ф_5.39-2024.xlsm“ über den Signal-Messenger an mehrere Militärangehörige und gab an, Probleme mit der Berichterstellung zu haben. Die besagte Datei enthielt ein zusätzliches VBA-Skript, das den Download und die Ausführung eines PowerShell-Skripts namens „mob2002.data“ auslöste.
Das von GitHub heruntergeladene PowerShell-Skript nimmt einige Änderungen in der Betriebssystemregistrierung vor. Genauer gesagt legt es eine Base64-codierte Nutzlast in „HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache“ ab, die letztendlich die Cookbox-Malware ausführt. Cookbox ist ein PowerShell-Skript, das Funktionen zum Herunterladen und Ausführen von PowerShell-Cmdlets implementiert.
Für den Betrieb von Command-and-Control-Servern werden dynamische DNS-Dienste (wie gotdns.ch, myftp.biz) und Cloudflare Worker eingesetzt. Die beschriebene Aktivität, die als UAC-0149 verfolgt wird, dauert nach den von den Forschern veröffentlichten Daten mindestens seit Herbst 2023 an.
