En hotaktör känd för att upprepade gånger rikta in sig på organisationer i Ukraina med RemcosRATs fjärrövervaknings- och kontrollverktyg är tillbaka på det igen, den här gången med en ny taktik för att överföra data utan att utlösa system för slutpunktsdetektering och svar.
Motståndaren, spårad som UNC-0050, är fokuserad på ukrainska regeringsenheter i sin senaste kampanj. Forskare vid Uptycs som upptäckte det sa att attackerna kan vara politiskt motiverade, med målet att samla in specifik underrättelse från ukrainska statliga myndigheter. "Även om möjligheten till statlig sponsring förblir spekulativ, utgör gruppens aktiviteter en obestridlig risk, särskilt för statliga sektorer som är beroende av Windows-system," Uptycs forskare Karthickkumar Kathiresan och Shilpesh Trivedi skrev i en rapport i veckan.
RemcosRAT-hotet
Hotskådespelare har använt sig av RemcosRAT — som startade livet som ett legitimt fjärradministrationsverktyg — för att kontrollera komprometterade system sedan åtminstone 2016. Verktyget låter bland annat angripare samla in och exfiltrera system-, användar- och processorinformation. Det kan bypass många antivirus- och endpoint-hotdetekteringsverktyg och kör en mängd olika bakdörrskommandon. I många fall har hotaktörer distribuerat skadlig programvara i bilagor i nätfiske-e-postmeddelanden.
Uptycs har inte kunnat fastställa den initiala attackvektorn i den senaste kampanjen ännu, men sa att den lutar mot jobbtema nätfiske och spam-e-postmeddelanden eftersom det troligen är distributionsmetoden för skadlig programvara. Säkerhetsleverantören baserade sina bedömningar på e-postmeddelanden som den granskade som påstods erbjuda riktad ukrainsk militärpersonal med konsultroller vid Israels försvarsstyrkor.
Själva infektionskedjan börjar med en .lnk-fil som samlar in information om det komprometterade systemet och sedan hämtar en HTML-app med namnet 6.hta från en angriparkontrollerad fjärrserver med en inbyggd Windows-binär, sa Uptycs. Den hämtade appen innehåller ett PowerShell-skript som initierar steg för att ladda ner två andra nyttolastfiler (word_update.exe och ofer.docx) från en angriparkontrollerad domän och – slutligen – för att installera RemcosRAT på systemet.
En något sällsynt taktik
Det som gör UNC-0050:s nya kampanj annorlunda är hotaktörens användning av en Windows interprocesskommunikation funktion som kallas anonyma rör för att överföra data på komprometterade system. Som Microsoft beskriver det är en anonym pipe en enkelriktad kommunikationskanal för överföring av data mellan en förälder och en barnprocess. UNC-0050 utnyttjar funktionen för att i hemlighet kanalisera data utan att utlösa några EDR- eller antivirusvarningar, sa Kathiresan och Trivedi.
UNC-0050 är inte den första hotaktören som använder rör för att exfiltrera stulen data, men taktiken är fortfarande relativt sällsynt, noterade Uptycs-forskarna. "Även om den inte är helt ny, markerar den här tekniken ett betydande steg i sofistikeringen av gruppens strategier," sa de.
Detta är långt ifrån första gången som säkerhetsforskare har sett UAC-0050 som försöker distribuera RemcosRAT till mål i Ukraina. Vid flera tillfällen förra året varnade Ukrainas Computer Emergency Response Team (CERT-UA) för kampanjer från hotaktören för att distribuera fjärråtkomsttrojanen till organisationer i landet.
Den senaste var en råd den 21 december 2023, om en massnätfiskekampanj som involverar e-postmeddelanden med en bilaga som påstås vara ett kontrakt som involverar Kyivstar, en av Ukrainas största telekommunikationsleverantörer. Tidigare i december varnade CERT-UA för en annan RemcosRAT massdistribution kampanj, den här med e-postmeddelanden som utger sig handla om "rättsliga anspråk" och "skulder" riktade mot organisationer och individer i Ukraina och Polen. Mejlen innehöll en bilaga i form av en arkivfil eller RAR-fil.
CERT-UA utfärdade liknande varningar vid tre andra tillfällen förra året, ett i november med e-postmeddelanden med stämningstema som det första leveransmedlet; en annan, också i november, med e-postmeddelanden som påstås ha kommit från Ukrainas säkerhetstjänst; och den första i februari 2023 om en masskampanj med e-postmeddelanden med bilagor som verkade vara associerad med en distriktsdomstol i Kiev.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
