.png)
Remcos RAT'ı Dağıtmak için Steganografi Kullanan Yeni IDAT Yükleyici Saldırıları
Finlandiya merkezli Ukraynalı kuruluşlar, IDAT Loader adlı bir kötü amaçlı yazılım yükleyici kullanarak Remcos RAT olarak bilinen ticari bir uzaktan erişim truva atı dağıtan kötü niyetli bir kampanyanın parçası olarak hedef alındı.
Saldırı, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) TARAFINDAN UAC-0184 takma adı altında izlenen bir tehdit aktörüne atfedildi.
Morphisec araştırmacısı Michael Dereviashkin, paylaşılan bir raporda, "IDAT Loader'ın bir parçası olarak saldırı, steganografiyi bir teknik olarak kullandı" dedi. "Steganografik veya 'Stego' teknikleri iyi bilinmesine rağmen, bu tür taktiklere karşı nasıl savunma yapılacağını daha iyi anlamak için savunmadan kaçınmadaki rollerini anlamak önemlidir."
Hijack Loader adlı başka bir yükleyici ailesiyle örtüşen IDAT Loader, son aylarda DanaBot, SystemBC ve RedLine Stealer gibi ek yüklere hizmet etmek için kullanıldı. Ayrıca, TA544 olarak izlenen bir tehdit aktörü tarafından kimlik avı saldırıları yoluyla Remcos RAT ve SystemBC'yi dağıtmak için kullanılmıştır.
İlk olarak Ocak 2024'ün başlarında CERT-UA tarafından açıklanan kimlik avı kampanyası, Remcos RAT'ı bulmak ve çıkarmak için gömülü bir steganografik PNG kullanan IDAT Loader'ın konuşlandırılmasına yol açan bir enfeksiyon zincirini başlatmak için başlangıç noktası olarak savaş temalı yemlerin kullanılmasını gerektiriyor.
Gelişme, CERT-UA'nın ülkedeki savunma güçlerinin, cmdlet'leri yükleyebilen ve yürütebilen PowerShell tabanlı bir kötü amaçlı yazılım olan COOKBOX'ı yürüten bubi tuzaklı bir Microsoft Excel belgesini dağıtmak için Signal anlık mesajlaşma uygulaması aracılığıyla hedef alındığını ortaya çıkarmasıyla geldi. CERT-UA, etkinliği UAC-0149 adlı bir kümeye bağladı.
Ayrıca, şu anda aktif olarak geliştirilmekte olan güncellenmiş bir varyantı kullanarak 8 Şubat 2024'ten bu yana PikaBot kötü amaçlı yazılımını yayan kötü amaçlı yazılım kampanyalarının yeniden canlanmasını takip ediyor.
Elastic Security Labs, "PikaBot yükleyicinin bu sürümü, yeni bir paket açma yöntemi ve ağır gizleme kullanıyor" dedi. "Çekirdek modül, yeni bir dize şifre çözme uygulaması, gizleme işlevinde değişiklikler ve diğer çeşitli değişiklikler ekledi."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı