Remcos RAT'ı Dağıtmak için Steganografi Kullanan Yeni IDAT Yükleyici Saldırıları
Finlandiya merkezli Ukraynalı kuruluşlar, IDAT Loader adlı bir kötü amaçlı yazılım yükleyici kullanarak Remcos RAT olarak bilinen ticari bir uzaktan erişim truva atı dağıtan kötü niyetli bir kampanyanın parçası olarak hedef alındı.
Saldırı, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) TARAFINDAN UAC-0184 takma adı altında izlenen bir tehdit aktörüne atfedildi.
Morphisec araştırmacısı Michael Dereviashkin, paylaşılan bir raporda, "IDAT Loader'ın bir parçası olarak saldırı, steganografiyi bir teknik olarak kullandı" dedi. "Steganografik veya 'Stego' teknikleri iyi bilinmesine rağmen, bu tür taktiklere karşı nasıl savunma yapılacağını daha iyi anlamak için savunmadan kaçınmadaki rollerini anlamak önemlidir."
Hijack Loader adlı başka bir yükleyici ailesiyle örtüşen IDAT Loader, son aylarda DanaBot, SystemBC ve RedLine Stealer gibi ek yüklere hizmet etmek için kullanıldı. Ayrıca, TA544 olarak izlenen bir tehdit aktörü tarafından kimlik avı saldırıları yoluyla Remcos RAT ve SystemBC'yi dağıtmak için kullanılmıştır.
İlk olarak Ocak 2024'ün başlarında CERT-UA tarafından açıklanan kimlik avı kampanyası, Remcos RAT'ı bulmak ve çıkarmak için gömülü bir steganografik PNG kullanan IDAT Loader'ın konuşlandırılmasına yol açan bir enfeksiyon zincirini başlatmak için başlangıç noktası olarak savaş temalı yemlerin kullanılmasını gerektiriyor.
Gelişme, CERT-UA'nın ülkedeki savunma güçlerinin, cmdlet'leri yükleyebilen ve yürütebilen PowerShell tabanlı bir kötü amaçlı yazılım olan COOKBOX'ı yürüten bubi tuzaklı bir Microsoft Excel belgesini dağıtmak için Signal anlık mesajlaşma uygulaması aracılığıyla hedef alındığını ortaya çıkarmasıyla geldi. CERT-UA, etkinliği UAC-0149 adlı bir kümeye bağladı.
Ayrıca, şu anda aktif olarak geliştirilmekte olan güncellenmiş bir varyantı kullanarak 8 Şubat 2024'ten bu yana PikaBot kötü amaçlı yazılımını yayan kötü amaçlı yazılım kampanyalarının yeniden canlanmasını takip ediyor.
Elastic Security Labs, "PikaBot yükleyicinin bu sürümü, yeni bir paket açma yöntemi ve ağır gizleme kullanıyor" dedi. "Çekirdek modül, yeni bir dize şifre çözme uygulaması, gizleme işlevinde değişiklikler ve diğer çeşitli değişiklikler ekledi."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı