Hakerska grupa praćena kao ‘UAC-0184’ je uočena da koristi steganografske datoteke slika za isporuku Remcos trojanca za daljinski pristup (RAT) na sisteme ukrajinskog entiteta koji djeluje u Finskoj.
UAC-0184 su hakeri koje je Trend Micro vidio kako izvode napade krajem 2023. na Oružane snage Ukrajine, također koristeći isti malver.
Najnovija aktivnost grupe prijetnji, koja je započela početkom januara 2024, a uočili su je analitičari Morphisec-a, ilustruje da su se proširili na ciljane organizacije izvan Ukrajine koje su povezane s njihovim strateškim ciljem.
Morphisec je odlučio da ne daje tehničke informacije ili specifične detalje o žrtvi zbog povjerljivosti, ali je ipak podijelio neke podatke o korištenim metodama napada.
Korištenje slika za učitavanje malvera
Steganografija je dobro dokumentovana, ali rijetko viđena taktika koja uključuje kodiranje malicioznog koda u pikselne podatke slika kako bi se izbjeglo otkrivanje od strane rješenja koja koriste pravila zasnovana na potpisu.
Tipično, mali komadi korisnog opterećenja u pikselima slike ne rezultuju izmijenjenim izgledom slike, ali u slučaju koji vidi Morphisec, slika izgleda vidno izobličena.
Maliciozna PNG slika koja sadrži ugrađeni kod (Morphisec)
Ovo izobličenje bi, međutim, bilo štetno za napadače samo u slučaju ručne inspekcije, a pod pretpostavkom da ga nema, i dalje radi u izbjegavanju otkrivanja iz automatizovanih sigurnosnih proizvoda.
Lanac napada koji je uočio Morphisec počinje pažljivo izrađenim phishing email-om navodno od ukrajinske 3. odvojene jurišne brigade ili Izraelskih odbrambenih snaga.
Prevareni primaoci koji otvore prilog datoteke pokreću lanac infekcije koji pokreće izvršni fajl (DockerSystem_Gzv3.exe), koji zauzvrat aktivira modularni malver loader pod nazivom ‘IDAT’.
“Istaknut svojom modularnom arhitekturom, IDAT koristi jedinstvene karakteristike kao što su moduli za ubrizgavanje koda i izvršavanje, što ga izdvaja od konvencionalnih loadera,” opisuje Morphisec.
“Upotrebljava sofisticirane tehnike kao što su dinamičko učitavanje Windows API funkcija, HTTP testovi povezivanja, liste blokova procesa i sistemski pozivi kako bi se izbjeglo otkrivanje.”
Da bismo ostali prikriveni, API pozivi nisu napisani u kodu u obliku otvorenog teksta, već se umjesto toga rješavaju u vrijeme izvođenja pomoću ključa za dešifrovanje koji je dio lanca napada.
IDAT izdvaja kodirani korisni teret koji je ugrađen u zlonamjernu PNG datoteku slike, a zatim ga dešifruje i izvršava u memoriji, proces koji uključuje više faza i dodatne module koji se ubacuju u legitimne procese (Explorer.exe) i DLL datoteke (PLA.dll ).
Pregled napada UAC-0184 (Morphisec)
Posljednja faza uključuje dešifrovanje i izvršenje Remcos RAT-a, malvera koji hakeri koriste kao backdoor na kompromitovanim sistemima, omogućavajući prikrivenu krađu podataka i praćenje aktivnosti žrtve.
Morphisec kaže da IDAT također isporučuje malvere kao što su Danabot, SystemBC i RedLine Stealer, ali nije jasno da li su ove porodice viđene na kompjuterima u Finskoj ili u različitim napadima.
Kompletnu listu indikatora kompromisa (IoC) za ovu kampanju možete pronaći u izvještaju CERT-UA.
Izvor: Bleepingcomputer
