Finlandiya'da faaliyet gösteren bir Ukrayna varlığının sistemlerine Remcos Uzaktan Erişim Trojan'ı (sıçan) sunmak için steganografik görüntü dosyaları kullanılarak 'UAC-0184' olarak izlenen bir hack grubu gözlendi.
UAC-0184, Tehdit Oyuncuları, 2023'ün sonlarında Ukrayna Silahlı Kuvvetlerine karşı, aynı zamanda kötü amaçlı yazılımları kullanan saldırılar gerçekleştiren mikro testere trend.
Tehdit Grubunun Ocak 2024'ün başlarında başlayan ve Morphisec analistleri tarafından tespit edilen son etkinliği, Stratejik Hedeflerine bağlı Ukrayna dışındaki kuruluşları hedeflemek için genişlediklerini gösteriyor.
Morphisec, gizlilik nedeniyle mağdur hakkında teknik bilgiler veya belirli ayrıntılar sağlamamayı seçti, ancak yine de istihdam edilen saldırı yöntemleri hakkında bazı veriler paylaştı.
Steganografi, iyi belgelenmiş ancak nadiren görülen bir taktiktir, bu da kötü amaçlı kodları, imza tabanlı kurallar kullanılarak çözümlerle algılamadan kaçınmak için görüntülerin piksel verilerine kodlamayı içeren bir taktiktir.
Tipik olarak, görüntü piksellerindeki küçük yük parçaları, değiştirilmiş bir görüntü görünümü ile sonuçlanmaz, ancak Morphisec tarafından görülen durumda, görüntü gözle görülür bir şekilde çarpıtılmış görünür.
Bununla birlikte, bu bozulma sadece manuel muayene durumunda saldırganlar için zarar verecek ve hiçbiri olmadığını varsayarsak, hala otomatik güvenlik ürünlerinden kaçınma için çalışıyor.
Morphisec tarafından gözlemlenen saldırı zinciri, Sözde Ukrayna'nın 3. ayrı saldırı tugayından veya İsrail Savunma Kuvvetleri'nden özenle hazırlanmış bir kimlik avı e -postasıyla başlıyor.
Kısayol dosya ekini açan kandırılmış alıcılar, yürütülebilir bir (dockersystem_gzv3.exe) başlatan bir enfeksiyon zincirini tetikler ve bu da 'Idat' adlı modüler bir kötü amaçlı yazılım yükleyicisini etkinleştirir.
Morphisec, "Modüler mimarisi ile ayırt edilen IDAT, kod enjeksiyonu ve yürütme modülleri gibi benzersiz özellikleri kullanıyor, geleneksel yükleyicilerden ayırıyor."
"Windows API işlevlerinin dinamik yüklenmesi, HTTP bağlantı testleri, işlem blok listeleri ve tespit edilmek için syscall'lar gibi sofistike teknikler kullanıyor."
Gizli kalmak için, API çağrıları kodda düz metin biçiminde yazılmaz, ancak saldırı zincirinin bir parçası olan bir şifre çözme anahtarı kullanılarak çalışma zamanında çözülür.
IDAT, kötü amaçlı PNG görüntü dosyasına gömülü olan kodlanmış yükü çıkarır ve daha sonra meşru süreçlere (explorer.exe) ve DLL dosyalarına enjekte edilen birden fazla aşama ve ek modül içeren bir işlem olan bir işlem, bellekte şifresini çözer ve yürütür (pla.dll dosyaları ( ).
Son aşama, bilgisayar korsanlarının güvenliği ihlal edilmiş sistemlerde arka kapı olarak kullanan ve gizli veri hırsızlığı ve mağdur faaliyet izlemesine izin veren bir emtia kötü amaçlı yazılım olan Remcos sıçanının şifre çözülmesini ve yürütülmesini içerir.
Morphisec, Idat'ın Danabot, SystemBC ve Redline Stealer gibi kötü amaçlı yazılımlar sunduğunu, ancak bu ailelerin Finlandiya merkezli bilgisayarlarda mı yoksa farklı saldırılarda mı görülmediği belirsiz.
Bu kampanya için uzlaşma göstergelerinin (IOC) tam listesi bu raporda CERT-UA tarafından bulunabilir.
Rus askeri bilgisayar korsanları Ukrayna'yı yeni masepie kötü amaçlı yazılımlarla hedefleyin
Labhost siber suç hizmeti, Phish Kanadalı banka kullanıcılarının kimsesine izin verir
Masif spam kampanyasında kullanılan büyük markaların kaçırılmış alt alanları
Bilgisayar korsanları kötüye kullanın Google Cloud Massive Bankacılık Truva Kampanyası
Hacker, banka hesaplarımızın banka hesaplarını sattığı için tutuklandı, Kanadalı kullanıcılar
Kaynak: Bleeping Computer