Украинские организации, базирующиеся в Финляндии, стали мишенью в рамках вредоносной кампании по распространению коммерческого троянца удаленного доступа, известного как Remcos RAT, с использованием загрузчика вредоносного ПО под названием IDAT Loader.
Атака была приписана субъекту угрозы, отслеживаемому Группой реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) под псевдонимом UAC-0184.
"В ходе атаки, как части IDAT Loader, в качестве техники использовалась стеганография", - сказал исследователь Morphisec Майкл Деревянкин в отчете, опубликованном The Hacker News. "Хотя стеганографические, или "Стего", методы хорошо известны, важно понимать их роль в уклонении от защиты, чтобы лучше понимать, как защищаться от такой тактики".
Загрузчик IDAT, который перекрывается с другим семейством загрузчиков под названием Hijack Loader, в последние месяцы использовался для обслуживания дополнительных полезных нагрузок, таких как DanaBot, SystemBC и RedLine Stealer. Он также использовался субъектом угрозы, отслеживаемым как TA544, для распространения Remcos RAT и SystemBC посредством фишинговых атак.
Фишинговая кампания, впервые раскрытая CERT-UA в начале января 2024 года, предполагает использование приманок на военную тематику в качестве отправной точки для запуска цепочки заражения, которая приводит к развертыванию IDAT Loader, который, в свою очередь, использует встроенный стеганографический файл PNG для обнаружения и извлечения Remcos RAT.
Разработка началась после того, как CERT-UA выявил, что силы обороны страны были нацелены через приложение для обмена мгновенными сообщениями Signal на распространение заминированного документа Microsoft Excel, который запускает COOKBOX, вредоносную программу на основе PowerShell, способную загружать и выполнять командлеты. CERT-UA приписал активность кластеру, получившему название UAC-0149.
Это также следует за возобновлением вредоносных кампаний, распространяющих вредоносное ПО PikaBot с 8 февраля 2024 года, с использованием обновленного варианта, который, похоже, в настоящее время находится в активной разработке.
"В этой версии загрузчика PIKABOT используется новый метод распаковки и интенсивное обфускирование", - сказали в Elastic Security Labs. "Базовый модуль добавил новую реализацию расшифровки строк, изменения в функциональности запутывания и различные другие модификации".
