UAC-0050 Grubu, Remcos RAT'ı Dağıtmak İçin Yeni Kimlik Avı Taktiklerini Kullanıyor
UAC-0050 olarak bilinen tehdit aktörü, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için yeni stratejiler kullanarak Remcos RAT'ı dağıtmak için kimlik avı saldırılarından yararlanıyor.
Uptycs güvenlik araştırmacıları Karthickkumar Kathiresan ve Shilpesh Trivedi Çarşamba günü yayınladıkları bir raporda, "Grubun tercih ettiği silah, casusluk cephaneliğinin ön saflarında yer alan, uzaktan gözetim ve kontrol için kötü şöhretli bir kötü amaçlı yazılım olan Remcos RAT'tır" dedi.
"Bununla birlikte, en son operasyonel dönüşlerinde, UAC-0050 grubu, gelişmiş uyarlanabilirliklerini sergileyen süreçler arası iletişim için bir boru yöntemi entegre etti."
2020'den beri aktif olan UAC-0050, alıcıları kötü amaçlı ekleri açmaları için kandırmak için meşru kuruluşların kimliğine bürünen sosyal mühendislik kampanyaları aracılığıyla Ukraynalı ve Polonyalı kuruluşları hedef alma geçmişine sahiptir.
Şubat 2023'te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), saldırganı Remcos RAT'ı teslim etmek için tasarlanmış bir kimlik avı kampanyasına bağladı.
Geçtiğimiz birkaç ay boyunca, aynı truva atı en az üç farklı kimlik avı dalgasının bir parçası olarak dağıtıldı ve bu tür bir saldırı aynı zamanda Meduza Stealer adlı bir bilgi hırsızının konuşlandırılmasına yol açtı.
Uptycs'in analizi, 21 Aralık 2023'te keşfettiği bir LNK dosyasına dayanıyor. İlk erişim vektörü şu anda tam olarak bilinmemekle birlikte, İsrail Savunma Kuvvetleri'nde (IDF) danışmanlık rollerinin reklamını yaptığını iddia eden Ukraynalı askeri personeli hedef alan kimlik avı e-postalarını içerdiğinden şüpheleniliyor.
Söz konusu LNK dosyası, hedef bilgisayarda yüklü olan virüsten koruma ürünleriyle ilgili bilgileri toplar ve ardından HTA dosyalarını çalıştırmak için Windows'a özgü bir ikili dosya olan mshta.exe'yi kullanarak uzak bir sunucudan "6.hta" adlı bir HTML uygulamasını almaya ve yürütmeye devam eder.
Bu adım, etki alanından "word_update.exe" ve "ofer.docx" adlı iki dosyayı indirmek için başka bir PowerShell betiğini paketinden açan bir PowerShell betiğinin önünü açar new-tech-savvy[.] Com.
word_update.exe'yi çalıştırmak, fmTask_dbg.exe adıyla kendisinin bir kopyasını oluşturmasına ve Windows Başlangıç klasöründeki yeni yürütülebilir dosyaya bir kısayol oluşturarak kalıcılık sağlamasına neden olur.
İkili ayrıca.exe sistem verilerini ve çerezleri ve Internet Explorer gibi web tarayıcılarından oturum açma bilgilerini toplayabilen Remcos RAT'ın (sürüm 4.9.2 Pro) şifresini çözmek ve başlatmak için kendisi ile cmd için yeni ortaya çıkan bir alt işlem arasında veri alışverişini kolaylaştırmak için adsız kanallar kullanır.
Araştırmacılar, "Windows işletim sistemindeki borulardan yararlanmak, veri aktarımı için gizli bir kanal sağlıyor ve Uç Nokta Algılama ve Yanıt (EDR) ve antivirüs sistemleri tarafından tespit edilmekten ustaca kaçınıyor" dedi.
"Tamamen yeni olmasa da, bu teknik grubun stratejilerinin karmaşıklığında önemli bir sıçramaya işaret ediyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı