Ֆինլանդիայում տեղակայված ուկրաինական կազմակերպությունները թիրախավորվել են որպես հարձակման արշավի մի մաս, որի նպատակը եղել է լայն տարածում գտած Remcos RAT troja-ի տարածումը։
Հարձակումը վերագրվել է ոչ թե անհատ հաքերի, այլ մի ողջ հանցախմբի։ Հանցախմբի գործունեությանը հետևել է Ուկրաինայի արտակարգ իրավիճակների հարցերով զբաղվող համակարգչային թիմը՝ (CERT-UA) UAC-0184–ը։
«Հարձակումը որակվել է IDAT Loader-ի մաս։ Այն steganography–ին օգտագործվել է որպես հարձակման հիմնական տեխնիկա», – ասում է Morphisec-ի փորձագետ՝ Մայքլ Դերևիաշկինը։
«Չնայած «Stego» տեխնիկան բավականին հայտնի է, այնումենայնիվ կարևոր է հասկանալ դրա դերը պաշտպանությունից խուսափելու գործում»:
IDAT Loader-ը, որը Hijack Loader ընտանիքի մի մաս է, վերջին ամիսներին չարաշահվել է՝ DanaBot, SystemBC և RedLine Stealer payload–երը տեղակայելու համար: Այն նաև հաքերների կողմից օգտագործվել է՝ SystemBC-ն ֆիշինգային հարձակումների միջոցով տարածելու համար:
Ֆիշինգային արշավը, որը առաջին անգամ բացահայտվել է CERT-UA-ի կողմից 2024 թվականի հունվարի սկզբին, որպես մեկնարկային կետ կիրառել է պատերազմական և քաղաքական թեմաների օգտագործումը` հանգեցնելով IDAT Loader-ի տեղակայմանը։
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ CERT-UA–ը փոխանցեց, որ երկրի իրավապահ ուժերը թիրախավորվել են Signal–ի հաղորդագրությունների հավելվածի միջոցով։ Թիրախավորման ընթացքում տարածվել է Microsoft Excel–ի մի փաստաթուղթը, որը ուղղորդվում է PowerShell-based COOKBOX malware -ի կողմից։ Այն ի վիճակի է բեռնել և գործարկել cmdlet–ներ:
«PikaBot loader–ի այս տարբերակն ապափաթեթավորման նոր մեթոդ է օգտագործում», – նշում է Elastic Security Labs-ը:
Աղբյուրը՝ https://thehackernews.com/