RemcosRAT uzaktan gözetleme ve kontrol aracıyla Ukrayna’daki kuruluşları defalarca hedef almasıyla bilinen bir tehdit aktörü, bu sefer uç nokta tespit ve yanıt sistemlerini tetiklemeden veri aktarımına yönelik yeni bir taktikle yeniden iş başında.
UNC-0050 olarak takip edilen düşman, son kampanyasında Ukrayna devlet kurumlarına odaklanıyor. Uptycs’te olayı fark eden araştırmacılar, saldırıların Ukrayna devlet kurumlarından özel istihbarat toplamak amacıyla siyasi amaçlı olabileceğini söyledi. Uptycs araştırmacıları Karthickkumar Kathiresan ve Shilpesh Trivedi, “Devlet sponsorluğu olasılığı spekülatif kalsa da, grubun faaliyetleri özellikle Windows sistemlerine bağımlı hükümet sektörleri için yadsınamaz bir risk oluşturuyor.” bu hafta bir raporda şunu yazdı.
RemcosRAT Tehdidi
Tehdit aktörleri kullanıyor RemcosRAT En az 2016’dan beri güvenliği ihlal edilmiş sistemleri kontrol etmek için meşru bir uzaktan yönetim aracı olarak hayata başlayan bu araç, diğer özelliklerinin yanı sıra, saldırganların sistem, kullanıcı ve işlemci bilgilerini toplamasına ve sızdırmasına olanak tanıyor. Bu olabilir kalp ameliyati Birçok antivirüs ve uç nokta tehdit algılama aracını kullanır ve çeşitli arka kapı komutlarını çalıştırır. Pek çok durumda tehdit aktörleri, kötü amaçlı yazılımı kimlik avı e-postalarındaki eklerde dağıttı.
Uptycs, son kampanyadaki ilk saldırı vektörünü henüz belirleyemedi ancak büyük olasılıkla kötü amaçlı yazılım dağıtım yöntemi olarak iş temalı kimlik avı ve spam e-postalarına yöneldiğini söyledi. Güvenlik sağlayıcısı, değerlendirmelerini incelediği ve hedeflenen Ukraynalı askeri personele İsrail Savunma Kuvvetleri’nde danışmanlık rolleri teklif ettiği iddia edilen e-postalara dayandırdı.
Uptycs, enfeksiyon zincirinin, ele geçirilen sistem hakkında bilgi toplayan ve daha sonra saldırgan tarafından kontrol edilen bir uzak sunucudan Windows yerel ikili programını kullanarak 6.hta adlı bir HTML uygulamasını alan bir .lnk dosyasıyla başladığını söyledi. Alınan uygulama, saldırgan tarafından kontrol edilen bir alandan diğer iki yük dosyasını (word_update.exe ve ofer.docx) indirme ve sonuçta RemcosRAT’ı sisteme yükleme adımlarını başlatan bir PowerShell betiği içeriyor.
Biraz Nadir Bir Taktik
UNC-0050’nin yeni kampanyasını farklı kılan, tehdit aktörünün Windows işlemler arası iletişim Güvenliği ihlal edilmiş sistemlerdeki verileri aktarmak için anonim kanallar adı verilen özellik. Microsoft’un tanımladığı gibi, anonim kanal, bir üst ve alt süreç arasında veri aktarımı için tek yönlü bir iletişim kanalıdır. Kathiresan ve Trivedi, UNC-0050’nin herhangi bir EDR veya antivirüs uyarısını tetiklemeden verileri gizlice kanalize etme özelliğinden yararlandığını söyledi.
Uptycs araştırmacıları, UNC-0050’nin çalıntı verileri sızdırmak için boruları kullanan ilk tehdit aktörü olmadığını ancak taktiğin nispeten nadir olduğunu belirtti. “Tamamen yeni olmasa da bu teknik, grubun stratejilerinin karmaşıklığında önemli bir sıçramaya işaret ediyor” dediler.
Bu, güvenlik araştırmacılarının UAC-0050’nin RemcosRAT’ı Ukrayna’daki hedeflere dağıtmaya çalıştığını ilk kez fark etmesinden çok uzak. Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), geçtiğimiz yıl birçok kez, tehdit aktörünün uzaktan erişim Truva atını ülkedeki kuruluşlara dağıtma kampanyaları konusunda uyardı.
En yenisi bir 21 Aralık 2023 tarihli danışma belgesiUkrayna’nın en büyük telekomünikasyon sağlayıcılarından biri olan Kyivstar’la yapılan bir sözleşme olduğu iddia edilen, ek içeren e-postaları içeren toplu bir kimlik avı kampanyası hakkında. Aralık ayının başlarında CERT-UA başka bir uyarıda bulundu RemcosRAT toplu dağıtım Bu kampanya, Ukrayna ve Polonya’daki kuruluş ve bireyleri hedef alan “adli iddialar” ve “borçlar” ile ilgili olduğu iddia edilen e-postaları içeriyor. E-postalar arşiv dosyası veya RAR dosyası biçiminde bir ek içeriyordu.
CERT-UA geçen yıl üç kez daha benzer uyarılar yayınladı; ilk dağıtım aracı olarak mahkeme celbi temalı e-postalar Kasım ayında kullanıldı; yine Kasım ayında Ukrayna güvenlik servisinden geldiği iddia edilen e-postalarla dolu bir başkası; ve Şubat 2023’te Kiev’deki bir bölge mahkemesiyle ilişkili olduğu anlaşılan ekleri olan toplu bir e-posta kampanyasıyla ilgili ilki.