Een bedreigingsacteur die bekend staat om het herhaaldelijk aanvallen van organisaties in Oekraïne met de RemcosRAT-tool voor bewaking en controle op afstand is weer terug, dit keer met een nieuwe tactiek voor het overbrengen van gegevens zonder eindpuntdetectie- en responssystemen te activeren.

De tegenstander, gevolgd als UNC-0050, richt zich in zijn laatste campagne op Oekraïense overheidsinstanties. Onderzoekers van Uptycs die de aanval opmerkten, zeiden dat de aanvallen mogelijk politiek gemotiveerd zijn, met als doel specifieke informatie van Oekraïense overheidsinstanties te verzamelen. “Hoewel de mogelijkheid van staatssponsoring speculatief blijft, vormen de activiteiten van de groep een onmiskenbaar risico, vooral voor overheidssectoren die afhankelijk zijn van Windows-systemen”, aldus Uptycs-onderzoekers Karthickkumar Kathiresan en Shilpesh Trivedi. schreef deze week in een rapport.

De RemcosRAT-dreiging

Bedreigingsactoren hebben gebruik gemaakt RemcosRAT – dat begon als een legitieme tool voor extern beheer – om gecompromitteerde systemen sinds minstens 2016 te controleren. De tool stelt aanvallers onder andere in staat systeem-, gebruikers- en processorinformatie te verzamelen en te exfiltreren. Het kan bypass veel antivirus- en endpoint-bedreigingsdetectietools en voer een verscheidenheid aan achterdeuropdrachten uit. In veel gevallen hebben bedreigingsactoren de malware verspreid in bijlagen bij phishing-e-mails.

Uptycs heeft de initiële aanvalsvector in de laatste campagne nog niet kunnen bepalen, maar zegt dat het neigt naar phishing- en spam-e-mails met een werkthema als hoogstwaarschijnlijk de distributiemethode voor malware. De beveiligingsleverancier baseerde zijn beoordelingen op e-mails die hij beoordeelde en die beweerden gericht Oekraïens militair personeel adviesrollen aan te bieden bij het Israëlische leger.

De infectieketen zelf begint met een .lnk-bestand dat informatie verzamelt over het aangetaste systeem en vervolgens een HTML-app met de naam 6.hta ophaalt van een door de aanvaller bestuurde externe server met behulp van een Windows-native binair bestand, aldus Uptycs. De opgehaalde app bevat een PowerShell-script dat stappen initieert om twee andere payload-bestanden (word_update.exe en ofer.docx) te downloaden van een door de aanvaller gecontroleerd domein en – uiteindelijk – om RemcosRAT op het systeem te installeren.

Een enigszins zeldzame tactiek

Wat de nieuwe campagne van UNC-0050 anders maakt, is het gebruik van a Windows-communicatie tussen processen functie genaamd anonieme leidingen om gegevens over te dragen op gecompromitteerde systemen. Zoals Microsoft het beschrijft, is een anonieme pijp een eenrichtingscommunicatiekanaal voor de overdracht van gegevens tussen een ouder- en een onderliggend proces. UNC-0050 maakt gebruik van de functie om heimelijk gegevens te kanaliseren zonder EDR- of antiviruswaarschuwingen te activeren, aldus Kathiresan en Trivedi.

UNC-0050 is niet de eerste bedreigingsacteur die leidingen gebruikt om gestolen gegevens te exfiltreren, maar de tactiek blijft relatief zeldzaam, merkten de Uptycs-onderzoekers op. “Hoewel niet geheel nieuw, markeert deze techniek een aanzienlijke sprong in de verfijning van de strategieën van de groep”, zeiden ze.

Dit is verre van de eerste keer dat beveiligingsonderzoekers UAC-0050 hebben opgemerkt die probeert RemcosRAT te distribueren naar doelen in Oekraïne. Vorig jaar waarschuwde het Oekraïense Computer Emergency Response Team (CERT-UA) meerdere keren voor campagnes van de bedreigingsacteur om de Trojan voor externe toegang te verspreiden onder organisaties in het land.

De meest recente was een advies op 21 december 2023, over een massale phishing-campagne waarbij gebruik werd gemaakt van e-mails met een bijlage die ogenschijnlijk een contract waren waarbij Kyivstar, een van de grootste telecommunicatieaanbieders van Oekraïne, betrokken was. Eerder in december waarschuwde CERT-UA voor een nieuwe RemcosRAT-massadistributie campagne, waarbij deze e-mails bevatte die zogenaamd gingen over ‘gerechtelijke claims’ en ‘schulden’, gericht op organisaties en individuen in Oekraïne en Polen. De e-mails bevatten een bijlage in de vorm van een archiefbestand of RAR-bestand.

CERT-UA heeft vorig jaar bij drie andere gelegenheden soortgelijke waarschuwingen afgegeven, één in november, waarbij e-mails met een gerechtelijk dagvaarding als eerste bezorgmiddel dienden; een andere, eveneens in november, met e-mails die naar verluidt afkomstig waren van de Oekraïense veiligheidsdienst; en de eerste in februari 2023 over een massale e-mailcampagne met bijlagen die verband leek te houden met een districtsrechtbank in Kiev.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign