Uhkatoimija, joka tunnetaan toistuvista kohdistamisesta Ukrainan organisaatioihin RemcosRAT-etävalvonta- ja -etähallintatyökalulla, on palannut asiaan, tällä kertaa uudella taktiikalla tietojen siirtämiseksi ilman päätepisteiden tunnistus- ja vastausjärjestelmiä.
Vastustaja, jota jäljitetään nimellä UNC-0050, keskittyy viimeisimmässä kampanjassaan Ukrainan hallituksen yksiköihin. Uptycsin tutkijat, jotka havaitsivat sen, sanoivat, että hyökkäykset voivat olla poliittisesti motivoituneita, ja niiden tarkoituksena on kerätä tiettyä tiedustelutietoa Ukrainan valtion virastoilta. "Vaikka valtion sponsoroinnin mahdollisuus on edelleen spekulatiivinen, ryhmän toiminta muodostaa kiistattoman riskin erityisesti Windows-järjestelmiin riippuvaisille valtion sektoreille", Uptycsin tutkijat Karthickkumar Kathiresan ja Shilpesh Trivedi kirjoitti raportissa tällä viikolla.
RemcosRAT-uhka
Uhkanäyttelijät ovat käyttäneet RemcosRAT — joka aloitti toimintansa laillisena etähallintatyökaluna — hallita vaarantuneita järjestelmiä ainakin vuodesta 2016 lähtien. Työkalun avulla hyökkääjät voivat muun muassa kerätä ja suodattaa järjestelmä-, käyttäjä- ja prosessoritietoja. Se voi ohittaa monia virustentorjunta- ja päätepisteuhkien havaitsemistyökaluja ja suorittaa erilaisia takaoven komentoja. Monissa tapauksissa uhkatekijät ovat jakaneet haittaohjelmia tietojenkalasteluviestien liitteissä.
Uptycs ei ole vielä kyennyt määrittämään alkuperäistä hyökkäysvektoria viimeisimmässä kampanjassa, mutta sanoi, että se on taipuvainen työaiheisiin tietojenkalastelu- ja roskapostisähköposteihin, koska se on todennäköisesti haittaohjelmien levitystapa. Tietoturvatoimittaja perusti arvionsa tarkistamiinsa sähköposteihin, joiden tarkoituksena oli tarjota kohdennetuille ukrainalaisille sotilashenkilöille konsulttitehtäviä Israelin puolustusvoimissa.
Itse tartuntaketju alkaa .lnk-tiedostolla, joka kerää tietoja vaarantuneesta järjestelmästä ja hakee sitten HTML-sovelluksen nimeltä 6.hta hyökkääjän ohjaamasta etäpalvelimesta käyttämällä Windowsin alkuperäistä binaaria, Uptycs sanoi. Haettu sovellus sisältää PowerShell-komentosarjan, joka käynnistää vaiheet kahden muun hyötytiedoston (word_update.exe ja ofer.docx) lataamiseksi hyökkääjän hallitsemasta toimialueesta ja lopulta RemcosRAT:n asentamiseksi järjestelmään.
Melko harvinainen taktiikka
Se, mikä tekee UNC-0050:n uudesta kampanjasta erilaisen, on se, että uhkatoimijat käyttävät a Windowsin prosessien välinen viestintä ominaisuus nimeltä nimettömät putket tietojen siirtämiseksi vaarantuneissa järjestelmissä. Kuten Microsoft kuvailee, anonyymi putki on yksisuuntainen viestintäkanava tietojen siirtämiseen vanhemman ja aliprosessin välillä. Kathiresan ja Trivedi sanoivat, että UNC-0050 hyödyntää ominaisuutta kanavoidakseen tietoja salassa ilman EDR- tai virustorjuntahälytyksiä.
UNC-0050 ei ole ensimmäinen uhkatekijä, joka käyttää putkia varastetun datan suodattamiseen, mutta taktiikka on edelleen suhteellisen harvinaista, Uptycs-tutkijat totesivat. "Vaikka ei täysin uusi, tämä tekniikka merkitsee merkittävää harppausta ryhmän strategioiden kehittyneisyydessä", he sanoivat.
Tämä ei ole suinkaan ensimmäinen kerta, kun tietoturvatutkijat ovat havainneet UAC-0050:n yrittävän jakaa RemcosRAT:ia Ukrainan kohteisiin. Viime vuonna Ukrainan Computer Emergency Response Team (CERT-UA) varoitti useaan otteeseen uhkatoimijan kampanjoista, joiden tarkoituksena oli jakaa etäkäyttötroijalainen organisaatioille maassa.
Viimeisin oli an neuvonta 21, joka koskee massatietojenkalastelukampanjaa, johon liittyi sähköposteja, joiden liite oli väitetty olevan sopimus Kyivstarin kanssa, joka on yksi Ukrainan suurimmista televiestinnän tarjoajista. Aiemmin joulukuussa CERT-UA varoitti toisesta RemcosRAT-massajakauma Tämä kampanja sisältää sähköposteja, joiden väitetään käsittelevän "oikeudellisia vaateita" ja "velkoja", jotka on kohdistettu organisaatioille ja yksityishenkilöille Ukrainassa ja Puolassa. Sähköpostit sisälsivät liitteen arkistotiedoston tai RAR-tiedoston muodossa.
CERT-UA antoi samanlaisia hälytyksiä kolmessa muussa yhteydessä viime vuonna, yhden marraskuussa, jolloin ensimmäisenä jakeluvälineenä toimi tuomioistuinhaasteaiheiset sähköpostit; toinen, myös marraskuussa, sähköpostilla väitetysti Ukrainan turvallisuuspalvelulta; ja ensimmäinen helmikuussa 2023 käsitteli joukkosähköpostikampanjaa liitteineen, jotka vaikuttivat liittyvän Kiovan käräjäoikeuteen.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
