Ukrainische Unternehmen mit Sitz in Finnland wurden im Rahmen einer bösartigen Kampagne angegriffen, bei der ein kommerzieller Fernzugriffstrojaner namens Remcos RAT über einen Malware-Loader namens IDAT Loader verteilt wurde.
Der Angriff wurde einem Bedrohungsakteur zugeschrieben, der vom Computer Emergency Response Team der Ukraine (CERT-UA) unter dem Namen UAC-0184 verfolgt wird.
„Der Angriff verwendete als Teil des IDAT Loaders die Steganographie als Technik“, sagte der Morphisec-Forscher Michael Dereviashkin in einem Bericht, der mit The Hacker News geteilt wurde. „Obwohl steganographische oder ‚Stego‘-Techniken bekannt sind, ist es wichtig zu verstehen, wie sie zur Verteidigungsevasion eingesetzt werden, um besser zu verstehen, wie man sich gegen solche Taktiken verteidigen kann.“
Der IDAT Loader, der mit einer anderen Loader-Familie namens Hijack Loader überschneidet, wurde in den letzten Monaten verwendet, um zusätzliche Payloads wie DanaBot, SystemBC und RedLine Stealer zu bedienen. Er wurde auch von einem Bedrohungsakteur namens TA544 verwendet, um Remcos RAT und SystemBC über Phishing-Angriffe zu verteilen.
Die Phishing-Kampagne, die von CERT-UA Anfang Januar 2024 erstmals bekannt gegeben wurde, beinhaltet die Verwendung von kriegsbezogenen Lockmitteln als Ausgangspunkt, um eine Infektionskette zu starten, die zur Bereitstellung des IDAT Loaders führt, der wiederum ein eingebettetes steganographisches PNG verwendet, um Remcos RAT zu lokalisieren und zu extrahieren.
Dies erfolgt, nachdem CERT-UA bekannt gegeben hat, dass Verteidigungskräfte im Land über die Instant Messaging-App Signal angegriffen wurden, um ein präpariertes Microsoft Excel-Dokument zu verteilen, das COOKBOX ausführt, eine auf PowerShell basierende Malware, die in der Lage ist, Cmdlets zu laden und auszuführen. CERT-UA hat die Aktivität einem Cluster namens UAC-0149 zugeordnet.
Es folgt auch das Wiederauftauchen von Malware-Kampagnen zur Verbreitung von PikaBot-Malware seit dem 8. Februar 2024, wobei eine aktualisierte Variante verwendet wird, die derzeit aktiv entwickelt wird.
„Diese Version des PIKABOT-Loaders verwendet eine neue Entpackungsmethode und starke Verschleierung“, sagte Elastic Security Labs. „Das Kernmodul hat eine neue String-Entschlüsselungsimplementierung hinzugefügt, Änderungen an der Verschleierungsfunktionalität und verschiedene andere Modifikationen.“